堡垒机支持与IDaaS认证对接,可将EIAM云身份服务实例用户同步至堡垒机作为堡垒机用户。本文介绍如何配置、清除IDaaS配置及换绑IDaaS实例。
背景信息
云身份服务IDaaS(Alibaba Cloud IDentity as a Service,简称IDaaS)是阿里云为企业用户提供的云原生的、经济的、便捷的、标准的身份、权限管理体系。更多说明,请参见什么是IDaaS EIAM?。
前提条件
已创建IDaaS EIAM实例。具体操作,请参见创建EIAM实例。
使用限制
IDaaS用户暂不支持通过密码认证方式使用客户端工具登录堡垒机进行资产运维,可以通过运维令牌认证方式使用客户端工具进行运维,或者通过运维门户进行运维。具体操作,请参见运维使用手册。
配置IDaaS认证
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,单击系统设置。
在IDaaS认证页签,单击绑定IDaaS实例。
在绑定IDaaS实例对话框,选择阿里云IDaaS实例,单击下一步,在提示框中,单击确定。
应用名称设置后不可修改。留空则默认使用堡垒机实例ID作为IDaaS应用名称。
如需创建新的IDaaS实例,您可以登录阿里云IDaaS控制台创建。具体操作,请参见创建IDaas实例。
在完成引导页,查看提示信息,单击确定。
首次导入IDaaS账户,您可通过以下方式进行。后续如果在IDaaS控制台创建新的账户则将自动同步至堡垒机(
页面)。方式一:登录阿里云IDaaS控制台将IDaaS账户一键推送到堡垒机。具体说明,请参见账户同步-事件回调。
方式二:在堡垒机新建用户。
页面,手动导入IDaaS用户。手动导入IDaaS用户操作说明,请参见
配置项
描述
出口IP
若您的堡垒机网络有请求IP限制,请将IDaaS的出口IP列表加入您的堡垒机的白名单中。
同步范围
设置指定的IDaaS组织机构后,在堡垒机同步用户时,仅同步该组织机构下账户的变更数据。
SSO发起方
IDaaS发起表示在IDaaS产品控制台通过IDaaS门户地址登录 。堡垒机发起表示在堡垒机运维门户通过IDaaS账户登录。可选:
支持IDaaS和堡垒机发起
只允许堡垒机发起
登录发起地址
SSO发起方为IDaaS时需要设置,即IDaaS发起SSO请求访问的堡垒机运维门户地址。可选:
公网运维门户地址
私网运维门户地址
手动导入同步用户快照间隔时间
设置快照间隔时间后,在堡垒机手动导入IDaaS用户时,将会在指定时间间隔自动将IDaaS认证服务器中用户列表同步到本地快照。有效值范围为[0,4~168]小时,默认为0小时,表示不自动同步用户快照。手动导入IDaaS用户操作说明,请参见新建用户。
换绑IDaaS实例
清空后IDaaS用户将无法登录堡垒机,数据不可恢复,请谨慎操作。
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,单击系统设置。
在IDaaS认证页签,单击换绑IDaaS实例。
在换绑IDaaS实例对话框,单击清空IDaaS用户并进行下一步,在提示框中,单击清空IDaaS用户。
在绑定实例页签,选择换绑的IDaaS实例单击下一步,在提示框中,单击确定。
清除IDaaS认证配置
清除配置后将无法使用IDaaS认证,请谨慎操作。
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,单击系统设置。
在IDaaS认证页签,单击清除配置。
在提示对话框,先单击清空IDaaS用户,再单击清除。
单击清空IDaaS用户,表示将堡垒机导入的IDaaS用户全部清空,但不解绑IDaaS实例。单击清除后,绑定的IDaaS实例将被解绑。