全部產品
Search
文件中心

Resource Access Management:建立可信實體為身份供應商的RAM角色

更新時間:Feb 22, 2024

可信實體為身份供應商的RAM角色主要用於實現企業IdP與阿里雲的單點登入(角色SSO)。該RAM角色允許可信的身份供應商下的使用者扮演。

前提條件

請確保您已建立了身份供應商:

建立SAML身份供應商的RAM角色

在基於SAML 2.0的角色SSO(單點登入)情境下,您需要建立可信實體為SAML身份供應商的RAM角色。

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 角色

  3. 角色頁面,單擊建立角色

  4. 建立角色頁面,選擇可信實體類型為身份供應商,然後單擊下一步

  5. 輸入角色名稱備忘

  6. 選擇身份供應商類型為SAML

  7. 選擇身份供應商並查看限制條件。

    說明

    目前只支援一個條件關鍵字saml:recipient,必選且不能修改。

  8. 單擊完成

  9. 單擊關閉

建立OIDC身份供應商的RAM角色

在基於OIDC的角色SSO(單點登入)情境下,您需要建立可信實體為OIDC身份供應商的RAM角色。

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 角色

  3. 角色頁面,單擊建立角色

  4. 建立角色頁面,選擇可信實體類型為身份供應商,然後單擊下一步

  5. 輸入角色名稱備忘

  6. 選擇身份供應商類型為OIDC

  7. 選擇身份供應商並設定限制條件。

    支援的限制條件如下表所示:

    限制條件關鍵字

    說明

    是否必選

    樣本

    oidc:iss

    OIDC頒發者(Issuer)。用來扮演角色的OIDC令牌中的iss欄位值必須滿足該限制條件要求,角色才允許被扮演。

    該限定條件必須使用StringEquals作為條件操作類型,條件值只能是您在OIDC身份供應商中填寫的頒發者URL。該限制條件用於確保只有受信頒發者頒發的OIDC令牌才能扮演角色。

    https://dev-xxxxxx.okta.com

    oidc:aud

    OIDC受眾(Audience)。用來扮演角色的OIDC令牌中的aud欄位值必須滿足該限制條件要求,角色才允許被扮演。

    該限定條件必須使用StringEquals作為條件操作類型,您可選擇在OIDC身份供應商中配置的一個或多個用戶端ID(Client ID)作為條件值。該限制條件用於確保只有您設定的Client ID產生的OIDC令牌才能扮演角色。

    0oa294vi1vJoClev****

    oidc:sub

    OIDC主體(Subject)。用來扮演角色的OIDC令牌中的sub欄位值必須滿足該限制條件要求時,角色才允許被扮演。

    該限定條件可以使用任何String類的條件操作類型,且您可以最多設定10個OIDC主體作為條件值。該限制條件用於進一步限制允許扮演角色的身份主體,您也可以不指定該限制條件。

    00u294e3mzNXt4Hi****

  8. 單擊完成

  9. 單擊關閉

後續步驟

成功建立RAM角色後,該RAM角色沒有任何許可權,您需要為該RAM角色授權。具體操作,請參見為RAM角色授權