虛商客戶無法直接登錄阿里云控制臺,需要調(diào)用安全訪問接口實現(xiàn)虛商客戶的免登訪問。本文介紹免登訪問流程。
背景信息
為了讓用戶可以登錄阿里云控制臺,阿里云除了提供主賬號或子賬號登錄控制臺的機制外,還需要提供使用安全令牌(STS Token)登錄阿里云控制臺的功能。虛商伙伴作為受信實體通過角色扮演獲取安全令牌,實現(xiàn)用戶免登登錄。
前提條件
虛商伙伴使用主賬號登錄阿里云官網(wǎng):
- 開通 RAM 服務(wù),具體操作請參見計費方法。
- 創(chuàng)建RAM用戶。 說明 并不是每次角色扮演都需要創(chuàng)建一個新的 RAM 用戶,可以直接使用已存在的 RAM 用戶即可。
- 為 RAM 用戶賦予 AliyunSTSAssumeRoleAccess 權(quán)限,具體操作請參見為RAM用戶授權(quán)。
- 創(chuàng)建AccessKey。
免登流程
免登錄流程如下圖所示。
- 用戶登錄虛商伙伴自己的Portal。
- 虛商伙伴使用已創(chuàng)建的 RAM 子賬號作為可信實體使用其 AccessKey ID 和 AccessKey Secret 作為參數(shù)調(diào)用 AssumeRole 接口扮演虛商客戶。然后虛商伙伴使用主賬號調(diào)用 GetSigninToken 向登錄服務(wù)申請阿里云控制臺的臨時安全令牌(SigninToken)。 說明 不能使用虛商伙伴主賬號的 AccessKey ID 和 AccessKey Secret 調(diào)用 AssumeRole 接口,否則會調(diào)用失敗。
- 登錄服務(wù)返回臨時安全令牌給虛商伙伴。
- 虛商伙伴返回臨時安全令牌給用戶。
- 虛商伙伴調(diào)用 Login 接口使用臨時安全令牌向阿里云登錄服務(wù)系統(tǒng)請求登錄。
- 阿里云登錄服務(wù)系統(tǒng)驗證成功后返回請求結(jié)果。
- 用戶登錄阿里云產(chǎn)品控制臺。