IDaaS 支持通过 SCIM 协议(作为 SCIM Client 客户端),由 IDaaS 将账户同步给应用(应用需支持作为 SCIM Server 服务端)。
SCIM(System for Cross-domain Identity Management,跨域身份管理系统,用于规范不同系统间的身份数据共享原则和接口定义,以增强身份系统之间的互用性(Interoperability)。
配置方式
在应用管理的【账户同步】标签下,管理员可以指定账户同步当时为【SCIM 协议】,实现通过 SCIM 协议将账户同步到支持 SCIM 协议的应用。
配置 SCIM 同步需要您在 IDaaS 和应用侧同时进行管理配置。以阿里云访问控制(RAM)或云 SSO(CloudSSO)应用为例,您可结合应用文档与本文档结合完成操作。如果您希望同步到其他应用,您需要检索到对应应用的 SCIM 同步启用文档,并结合本文档完成操作。
应用 | 文档 |
阿里云 CloudSSO |
配置 SCIM 同步的方式和配置基于事件回调的【快捷模式】类似。您同样需要首先确认需要同步的节点范围,而后对 SCIM 的客户端参数进行配置。
参数说明如下:
新字段 | 说明 |
出口 IP | 请将 IDaaS 出口 IP 在您的安全设置中加白,保障 IDaaS 请求可顺利抵达接收方。 |
SCIM Base URL | 填写接收 SCIM 同步请求的客户端地址。 例如阿里云 RAM 的 SCIM Base URL应固定为:https://scim.aliyun.com。 |
接口授权 | 不同的 SCIM 客户端可能要求不同的接口鉴权方式。IDaaS 支持【OAuth 客户端模式】和【密钥模式】两个选项,请参考客户端进行配置。 例如阿里云 RAM 支持 OAuth 客户端模式对 SCIM 请求进行鉴权,如下图: |
操作调用 | 管理员可以选择性地订阅希望关注的变更事件,获取即时推送。 当 IDaaS 中发生了对应变更后,将会自动触发同步,将变更即时更新至应用中。 |
字段映射 | 用于展示和编辑 SCIM 同步过程中的字段映射关系。 |
在配置完成保存后,我们建议您通过【测试连接】功能检查配置是否正确。
若有需要,管理员可以通过【一键推送】功能,将在同步范围内的账户一次性全部推送到应用中。
注意事项
当前仅支持账户同步,暂未实现组同步或组织同步。
在进行 RAM 或 CloudSSO 应用 SCIM 同步时,由于阿里云 RAM 对大小写不敏感,为了避免冲突,账户字段值将全部转小写后同步到 RAM 中。