全部產品
Search
文件中心

Resource Access Management:管理OIDC身份供應商

更新時間:Jun 25, 2024

在使用OIDC角色SSO時,需要建立身份供應商。

建立OIDC身份供應商

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇整合管理 > SSO管理

  3. 角色SSO頁簽,先單擊OIDC頁簽,然後單擊建立身份供應商

  4. 建立身份供應商頁面,設定身份供應商資訊。

    參數

    說明

    身份供應商名稱

    同一個阿里雲帳號下必須唯一。

    頒發者URL

    頒發者URL由外部IdP提供。頒發者URL必須以https開頭,符合標準URL格式,但不允許帶有query參數(以?標識)、fragment片段(以#標識)和登入資訊(以@標識)。

    驗證指紋

    為了防止頒發者URL被惡意劫持或篡改,您需要配置外部IdP的HTTPS CA認證產生的驗證指紋。

    填寫完頒發者URL後,您可以單擊擷取指紋,阿里雲會輔助您自動計算出驗證指紋,但是建議您在本地自己計算一次(例如:使用OpenSSL計算指紋),與阿里雲計算的指紋進行對比。如果對比發現不同,則說明該頒發者URL可能已經受到攻擊,請您務必再次確認,並填寫正確的指紋。

    說明

    當您的IdP計划進行認證輪轉時,請在輪轉前產生新認證的指紋並添加到阿里雲OIDC身份供應商資訊中,一段時間(至少一天)以後再進行認證輪轉,認證輪轉確認可以換取到STS Token後再刪除舊的指紋。

    用戶端ID

    您的應用在外部IdP註冊的時候,會產生一個用戶端ID(Client ID)。當您從外部IdP申請簽發OIDC令牌(OIDC Token)時必須使用該用戶端ID,簽發出來的OIDC Token也會通過aud欄位攜帶該用戶端ID。在建立OIDC身份供應商時配置該用戶端ID,然後在使用OIDC Token換取STS Token時,阿里雲會校正OIDC Token中aud欄位所攜帶的用戶端ID與OIDC身份供應商中配置的用戶端ID是否一致。只有一致時,才允許扮演角色。

    如果您有多個應用需要訪問阿里雲,您可以配置多個用戶端ID,但最多不能超過20個。

    最早頒發時間限制

    在該限制時間之前頒發的OIDC Token不允許換取STS Token。

    預設值:12小時。取值範圍:1~168小時。

    備忘

    身份供應商的描述資訊。

  5. 單擊確定

查看OIDC身份供應商資訊

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇整合管理 > SSO管理

  3. 角色SSO頁簽,先單擊OIDC頁簽,然後單擊目標身份供應商名稱。

  4. 身份供應商資訊地區,查看身份供應商名稱身份供應商類型建立時間更新時間備忘ARN頒發者URL

修改OIDC身份供應商資訊

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇整合管理 > SSO管理

  3. 角色SSO頁簽,先單擊OIDC頁簽,然後單擊目標身份供應商名稱。

  4. 身份供應商資訊地區,單擊備忘右側的編輯,修改備忘資訊。

  5. 用戶端ID地區,單擊添加刪除,添加或刪除用戶端ID。

    說明

    最多添加20個用戶端ID。只有1個用戶端ID時,無法刪除。

  6. 指紋地區,單擊添加刪除,添加或刪除驗證指紋。

    說明

    最多添加5個驗證指紋。只有1個驗證指紋時,無法刪除。

刪除OIDC身份供應商

警告

刪除OIDC身份供應商後,企業將無法與阿里雲RAM進行OIDC角色SSO。

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇整合管理 > SSO管理

  3. 角色SSO頁簽,先單擊OIDC頁簽,然後單擊目標OIDC身份供應商操作列的刪除

  4. 刪除身份供應商對話方塊,單擊確定