本文介紹如何在阿里雲IDaaS(EIAM)中使用SCIM(System for Cross-domain Identity Management)協議實現賬戶供給。通過SCIM標準介面,企業可高效同步處理的使用者及組織資料至第三方應用,簡化身份管理流程,提升營運效率。內容涵蓋配置步驟、介面調用及注意事項,助力企業快速整合跨系統身份資訊。
注意事項
SCIM規範並不支援組織同步,當前IDaaS EIAM不支援同步群組織機構到下遊;
IDaaS EIAM當前同時支援組和帳號同步,但實際能否同步到下遊應用取決於該應用的對接能力。當前阿里雲RAM僅支援賬戶同步,阿里雲Cloud SSO支援賬戶和組同步。
在進行RAM或Cloud SSO應用SCIM同步時,由於阿里雲RAM對大小寫不敏感,為了避免衝突,賬戶欄位值將全部轉小寫後同步到RAM中。
配置方式
在應用管理的賬戶同步標籤下,管理員可以選擇SCIM協議作為同步方式,實現通過SCIM協議將賬戶同步到支援SCIM協議的應用。
配置SCIM同步需要您在IDaaS和應用側同時進行管理配置。以阿里雲存取控制(RAM)或雲SSO(CloudSSO)應用為例,您可結合應用文檔與本文檔完成操作。如果您希望同步到其他應用,您需要檢索到對應應用的SCIM同步啟用文檔,並結合本文檔完成操作。
應用 | 文檔 |
阿里雲 CloudSSO |
配置SCIM同步的方式和配置基於事件回調的快捷模式類似。首先需指定同步的節點範圍,然後配置 SCIM 用戶端參數。
參數說明如下:
新欄位 | 說明 |
出口IP | 請將IDaaS出口IP在您的安全設定中加白,保障IDaaS請求可順利抵達接收方。 |
SCIM Base URL | 填寫接收SCIM同步請求的用戶端地址。 例如阿里雲RAM的SCIM Base URL應固定為:SCIM Base URL固定地址。 |
介面授權 | 不同的SCIM用戶端可能要求不同的介面鑒權方式。IDaaS支援OAuth用戶端模式和密鑰模式兩個選項,請參考用戶端進行配置。 例如阿里雲RAM支援OAuth用戶端模式對SCIM請求進行鑒權,如下圖:
|
操作調用 | 管理員可以選擇性地訂閱希望關注的變更事件,擷取即時推送。 當IDaaS中發生了對應變更後,將會自動觸發同步,將變更即時更新至應用中。
說明 操作調用的事件對增量同步處理和全量同步均生效。 |
全量推送範圍 | 當進行一鍵推送(即全量同步)時,只會推送該應用同步範圍內的、全量推送範圍所選資料類型的資料到下遊應用。例如只推送賬戶資料。
說明 全量推送範圍僅對全量同步生效,增量同步處理不生效。 |
欄位對應 | 用於展示和編輯SCIM同步過程中的欄位對應關係。
|
在配置完成儲存後,我們建議您通過測試連接功能檢查配置是否正確。
若有需要,管理員可以通過一鍵推送功能,將在同步範圍內的賬戶一次性全部推送到應用中。
IDaaS(EIAM) SCIM 支援情況
平台 | 是否支援 SCIM | 是否支援檢索存量使用者 | 存量使用者是否支援變更 | 最終存量使用者是否關聯成功 |
阿里雲 RAM | 支援 | 支援 | 不支援 | 不支援 |
阿里雲 CoudSSO | 支援 | 不支援 | 不支援 | 支援(通過CloudSSO同名覆蓋邏輯隱式支援) |
華為雲IAM | 不支援 | |||
華為雲 IAM身份中心 | 支援 | 支援 | 支援 | 支援 |
騰訊雲CAM | 不支援 | |||
騰訊雲集團管理 | 支援 | 支援 | 支援 | 支援(使用者名稱不支援變更) |
火山引擎IAM | 不支援 | |||
火山引擎雲身份中心 | 支援 | 不支援 | 不支援 | 不支援 |
AWS/國際站 IAM | 不支援 | |||
AWS/國際站 IAM Identity Center | 支援 | 支援 | 支援 | 支援 |