本文為您介紹如何通過配置審計和CloudMonitor實現雲SSO的SCIM密鑰和SAML簽署憑證到期事件的警示通知。
應用情境
SCIM密鑰到期
您在配置雲SSO和企業IdP身份聯合的SCIM使用者同步時,需要建立SCIM密鑰。更多資訊,請參見管理SCIM密鑰。
該密鑰的有效期間為一年,密鑰到期後SCIM同步將會中斷。因此,您需要提前建立新的密鑰進行輪換。為保證您的同步設定持續有效,您可以通過配置審計合規規則設定SCIM密鑰到期規則,通過CloudMonitor進行警示通知,提前輪換密鑰。
SAML簽署憑證到期
您在配置雲SSO和企業IdP的身份聯合SSO單點登入時,需要上傳企業IdP的中繼資料檔案,其中包含IdP的SAML簽署憑證資訊,雲SSO通過中繼資料檔案擷取到該認證的有效期間。更多資訊,請參見管理單點登入。
若SAML簽署憑證到期,SSO單點登入將失敗,使用者無法通過雲SSO登入阿里雲。因此,您需要在認證到期前在IdP建立新的認證進行輪換。您可以通過配置審計合規規則設定SAML簽署憑證到期規則,通過CloudMonitor進行警示通知,提前輪換認證。
操作步驟
使用雲SSO管理員完成以下操作。
步驟一:在配置審計中建立合規規則
登入配置審計控制台。
單擊立即啟用,開通配置審計。
說明如果您已開通配置審計,可以跳過該步。
建立合規規則。
在左側導覽列,選擇。
在規則頁面,單擊建立規則。
在選擇建立方式頁面,先選擇基於模板建立,然後從模板中選擇規則,再單擊下一步。
規則模板選擇雲SSO SCIM密鑰到期檢查或雲SSO SAML簽署憑證到期檢查。
在設定基本屬性頁面,設定規則的基本屬性,然後單擊下一步。
在參數設定地區,輸入到期前多少天視為不合規,預設值為90天,您可以根據需要修改。
其他屬性保持預設。
在設定生效範圍頁面,查看預設選中的資源類型,然後單擊下一步。
在設定修正頁面,單擊提交。
您可以開啟設定修正開關,根據控制台提示,設定模板修正或自訂修正。關於如何設定修正,請參見修正設定概述。
步驟二:在CloudMonitor中建立警示
建立警示連絡人。
具體操作,請參見建立警示連絡人。
建立警示聯絡組。
具體操作,請參見建立警示連絡人群組。
建立訂閱策略。
配置審計將所有不合規事件投遞到CloudMonitor後,您可以根據所需建立系統事件訂閱策略,通過郵件接收不合規事件的警示通知。
在左側導覽列,選擇。
在訂閱策略頁簽,單擊建立訂閱策略。
在建立訂閱策略頁面,設定訂閱策略的相關參數。
基本資料:輸入訂閱策略名稱稱。
警示訂閱:訂閱類型選擇系統事件,訂閱範圍中的產品選擇配置審計、事件類型選擇通知、事件名稱選擇不合規事件、事件等級選擇通知(Info)、事件內容輸入待過濾的關鍵字或為空白,應用分組和事件資源均不設定。
說明關於配置審計支援的系統事件,請參見配置審計。
事件內容是關鍵字匹配,例如:輸入Critical,表示只匹配配置審計中風險等級為高風險的規則。您可以不設定,或設定其他任意關鍵字進行匹配。
合并降噪:使用預設值。
通知:建立通知配置時選擇步驟 2中建立的警示聯絡組,自訂通知方式使用預設值。
說明關於如何建立通知配置,請參見建立通知配置策略。
CloudMonitor自動根據警示聯絡組中警示連絡人的通知方式和自訂通知方式中通知方式對應的警示層級發送警示通知。
推送與整合:無需配置。
單擊確定。