在使用OIDC角色SSO時,需要建立身份供應商。
建立OIDC身份供應商
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在角色SSO頁簽,先單擊OIDC頁簽,然後單擊建立身份供應商。
在建立身份供應商頁面,設定身份供應商資訊。
參數
說明
身份供應商名稱
同一個阿里雲帳號下必須唯一。
頒發者URL
頒發者URL由外部IdP提供。頒發者URL必須以
https
開頭,符合標準URL格式,但不允許帶有query參數(以?
標識)、fragment片段(以#
標識)和登入資訊(以@
標識)。驗證指紋
為了防止頒發者URL被惡意劫持或篡改,您需要配置外部IdP的HTTPS CA認證產生的驗證指紋。
填寫完頒發者URL後,您可以單擊擷取指紋,阿里雲會輔助您自動計算出驗證指紋,但是建議您在本地自己計算一次(例如:使用OpenSSL計算指紋),與阿里雲計算的指紋進行對比。如果對比發現不同,則說明該頒發者URL可能已經受到攻擊,請您務必再次確認,並填寫正確的指紋。
說明當您的IdP計划進行認證輪轉時,請在輪轉前產生新認證的指紋並添加到阿里雲OIDC身份供應商資訊中,一段時間(至少一天)以後再進行認證輪轉,認證輪轉確認可以換取到STS Token後再刪除舊的指紋。
用戶端ID
您的應用在外部IdP註冊的時候,會產生一個用戶端ID(Client ID)。當您從外部IdP申請簽發OIDC令牌(OIDC Token)時必須使用該用戶端ID,簽發出來的OIDC Token也會通過
aud
欄位攜帶該用戶端ID。在建立OIDC身份供應商時配置該用戶端ID,然後在使用OIDC Token換取STS Token時,阿里雲會校正OIDC Token中aud
欄位所攜帶的用戶端ID與OIDC身份供應商中配置的用戶端ID是否一致。只有一致時,才允許扮演角色。如果您有多個應用需要訪問阿里雲,您可以配置多個用戶端ID,但最多不能超過20個。
最早頒發時間限制
在該限制時間之前頒發的OIDC Token不允許換取STS Token。
預設值:12小時。取值範圍:1~168小時。
備忘
身份供應商的描述資訊。
單擊確定。
查看OIDC身份供應商資訊
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在角色SSO頁簽,先單擊OIDC頁簽,然後單擊目標身份供應商名稱。
在身份供應商資訊地區,查看身份供應商名稱、身份供應商類型、建立時間、更新時間、備忘、ARN和頒發者URL。
修改OIDC身份供應商資訊
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在角色SSO頁簽,先單擊OIDC頁簽,然後單擊目標身份供應商名稱。
在身份供應商資訊地區,單擊備忘右側的編輯,修改備忘資訊。
在用戶端ID地區,單擊添加或刪除,添加或刪除用戶端ID。
說明最多添加20個用戶端ID。只有1個用戶端ID時,無法刪除。
在指紋地區,單擊添加或刪除,添加或刪除驗證指紋。
說明最多添加5個驗證指紋。只有1個驗證指紋時,無法刪除。
刪除OIDC身份供應商
刪除OIDC身份供應商後,企業將無法與阿里雲RAM進行OIDC角色SSO。
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在角色SSO頁簽,先單擊OIDC頁簽,然後單擊目標OIDC身份供應商操作列的刪除。
在刪除身份供應商對話方塊,單擊確定。