本文为您介绍如何通过配置审计和云监控实现云SSO的SCIM密钥和SAML签名证书过期事件的报警通知。
应用场景
SCIM密钥过期
您在配置云SSO和企业IdP身份联合的SCIM用户同步时,需要创建SCIM密钥。更多信息,请参见管理SCIM密钥。
该密钥的有效期为一年,密钥过期后SCIM同步将会中断。因此,您需要提前创建新的密钥进行轮换。为保证您的同步设置持续有效,您可以通过配置审计合规规则设置SCIM密钥过期规则,通过云监控进行报警通知,提前轮换密钥。
SAML签名证书过期
您在配置云SSO和企业IdP的身份联合SSO单点登录时,需要上传企业IdP的元数据文件,其中包含IdP的SAML签名证书信息,云SSO通过元数据文件获取到该证书的有效期。更多信息,请参见管理单点登录。
若SAML签名证书过期,SSO单点登录将失败,用户无法通过云SSO登录阿里云。因此,您需要在证书过期前在IdP创建新的证书进行轮换。您可以通过配置审计合规规则设置SAML签名证书过期规则,通过云监控进行报警通知,提前轮换证书。
操作步骤
使用云SSO管理员完成以下操作。
步骤一:在配置审计中创建合规规则
登录配置审计控制台。
单击立即启用,开通配置审计。
说明如果您已开通配置审计,可以跳过该步。
创建合规规则。
在左侧导航栏,选择。
在规则页面,单击新建规则。
在选择创建方式页面,先选择基于模板创建,然后从模板中选择规则,再单击下一步。
规则模板选择云SSO SCIM密钥过期检查或云SSO SAML签名证书过期检查。
在设置基本属性页面,设置规则的基本属性,然后单击下一步。
在参数设置区域,输入过期前多少天视为不合规,默认值为90天,您可以根据需要修改。
其他属性保持默认。
在设置生效范围页面,查看默认选中的资源类型,然后单击下一步。
在设置修正页面,单击提交。
您可以打开设置修正开关,根据控制台提示,设置模板修正或自定义修正。关于如何设置修正,请参见修正设置概述。
步骤二:在云监控中创建报警
登录云监控控制台。
创建报警联系人。
具体操作,请参见创建报警联系人。
创建报警联系组。
具体操作,请参见创建报警联系人组。
创建订阅策略。
配置审计将所有不合规事件投递到云监控后,您可以根据所需创建系统事件订阅策略,接收不合规事件的报警通知。
在左侧导航栏,选择。
在订阅策略页签,单击创建订阅策略。
在创建订阅策略页面,设置订阅策略的相关参数。
基本信息:输入订阅策略名称。
报警订阅:订阅类型选择系统事件,订阅范围中的产品选择配置审计、事件类型选择通知、事件名称选择不合规事件、事件等级选择通知和事件内容输入Critical,应用分组和事件资源均不设置。
说明关于配置审计支持的系统事件,请参见配置审计。
合并降噪:使用默认值。
通知:创建通知配置,自定义通知方式使用默认通知方式。
创建通知配置时,先输入通知配置名称,再选择通知设置为直接设置通知组,然后选择报警联系组,最后单击确定。
说明关于如何创建通知配置,请参见创建通知配置策略。
系统自动根据报警组中报警联系人的通知方式发送报警通知,例如:报警联系人中设置了手机号码和邮箱,自定义通知方式使用默认通知方式,则报警联系人只会收到报警电话、短信和邮件。
推送与集成:无需配置。
单击确定。