本文為您介紹如何使用角色SSO的方式訪問Hologres。
背景信息
阿里云支持企業用戶通過在阿里云控制臺輸入賬號、密碼后登錄阿里云來管理和使用云資源。隨著企業安全監管要求的日益嚴格,部分企業更愿意通過角色登錄(Role Base_SSO)的方式登錄阿里云。詳情請參見SAML角色SSO概覽。
適用場景
一般情況下,對于阿里云企業用戶,需要用戶通過在阿里云控制臺輸入賬號、密碼后登錄阿里云來管理和使用云資源。但是隨著企業安全監管要求的日益嚴格,希望集中管理登錄鑒權信息,企業往往會選擇單點登錄(SSO)的方式登錄應用。SSO是指在多個應用系統中,用戶只需要登錄一次,就可以訪問所有相互信任的應用系統。現在Hologres支持基于角色的SSO登錄模式,詳情請參見SAML角色SSO概覽。基于該功能,您可以使用企業賬號,扮演RAM角色訪問Hologres實例。具體的訪問權限由RAM角色控制。一個調用的樣例如下。
用戶使用瀏覽器在Idp的登錄頁面中選擇阿里云作為目標服務。
例如:如果企業IdP使用AD FS(Microsoft Active Directory Federation Service),則登錄URL為:https://ADFSServiceName/adfs/ls/IdpInitiatedSignOn.aspx。
說明有些IdP會要求用戶先登錄,再選擇代表阿里云的SSO應用。
IdP生成一個SAML響應并返回給瀏覽器。
瀏覽器重定向到SSO服務頁面,并轉發SAML響應給SSO服務。
SSO服務使用SAML響應向阿里云STS服務請求臨時安全憑證,并生成一個可以使用臨時安全憑證登錄阿里云控制臺的URL。
說明如果SAML響應中包含映射到多個RAM角色的屬性,系統將會首先提示用戶選擇一個用于訪問阿里云的角色。
SSO服務將URL返回給瀏覽器。
瀏覽器重定向到該URL,以指定RAM角色登錄到阿里云控制臺,用戶使用企業賬戶扮演RAM角色登錄Hologres實例。
Hologres支持的用戶訪問方式
Hologres支持如下兩種訪問方式:
通過云賬號(阿里云賬號或RAM用戶)訪問Hologres。
您可以通過輸入賬號、密碼的方式登錄阿里云管理控制臺,并以當前登錄賬號的身份使用Hologres。此時,阿里云賬號將成為Hologres某個實例的成員,擁有Hologres產品的使用權限。
通過RAM角色SSO的方式登錄Hologres。
您也可以通過角色SSO的方式(SAML角色SSO概覽)登錄阿里云,并使用Hologres。此時,阿里云訪問控制角色(RAM Role)將成為Hologres某個實例的成員,扮演該RAM Role的使用者將擁有和云賬號類成員同樣的產品使用權限。RAM角色的描述,詳情請參見RAM角色概覽。
對于Hologres來說,RAM角色(RAM Role)和阿里云賬號(包括主賬號和RAM用戶)是同等地位的賬號。因此,對于Hologres來說,RAM角色就是一個普通的可登錄賬號。Superuser需要對這個RAM角色(而不是背后的云賬號)進行授權來賦予這個RAM角色權限(SELECT/INSERT/UPDATE等),這個RAM角色才能在權限范圍內使用Hologres。
RAM角色SSO(STS)介紹
通過RAM角色SSO的方式登錄并訪問Hologres是基于阿里云STS服務實現的。阿里云STS(Security Token Service)是為阿里云賬號(或RAM用戶)提供短期訪問權限管理的云服務。通過STS,您可以為用戶(您的本地賬號系統所管理的用戶)頒發一個自定義時效和訪問權限的訪問憑證。用戶可以使用STS短期訪問憑證直接連接Hologres并訪問被授權的資源。
使用STS Token有以下優勢:
減少了賬號AccessKey ID和AccessKey Secret泄露的風險,只需要生成一個臨時訪問憑證給用戶使用即可。
能使用靈活的權限控制,STS Token有一定的時間期限,不需要關心權限撤銷問題,臨時訪問憑證過期后會自動失效。
如下操作步驟將指導您通過創建RAM角色并授權訪問Hologres。
步驟一:創建RAM角色
登錄訪問控制,創建RAM角色。當前可信實體類型,可以選擇阿里云賬號或者身份提供商。
如果需要通過阿里云管理控制臺切換身份方式扮演該角色,選擇阿里云賬號類型的角色。具體操作請參見通過RAM用戶扮演角色并添加權限。
如果需要通過本地IDP身份提供商賬號登錄至阿里云扮演該角色,選擇身份提供商類型的角色。具體操作請參見通過IDP身份提供商賬號來扮演角色并添加權限。
通過RAM用戶扮演角色并添加權限
如果需要通過RAM用戶來扮演RAM角色并基于阿里云控制臺切換身份方式扮演該角色,請登錄訪問控制,創建RAM角色。當前可信實體類型,可以選擇阿里云賬號。
創建可信實體類型為阿里云賬號的RAM角色。
登錄訪問控制,在左側導航欄,單擊身份管理>角色。
在角色頁面,單擊創建角色,當前可信實體類型選擇阿里云賬號。
單擊下一步,配置角色名稱,并選擇當前云賬號。
單擊完成,頁面提示角色創建成功完成創建。
創建并添加權限策略。
在RAM角色管理列表頁,單擊目標角色名稱,進入角色信息詳情頁。
選擇信任策略頁簽,單擊編輯信任策略修改信任策略為如下腳本內容。
參數說明
在策略配置時,您需要將如下腳本中的
acs:ram::主賬號ID:root信息中的主賬號ID,替換為需要授權的賬號信息。請前往用戶信息頁面,獲取賬號ID。腳本配置
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::主賬號ID:root" ] } }, { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "dataworks.aliyuncs.com" ] } } ], "Version": "1" }
單擊保存信任策略,完成權限策略配置。
創建RAM用戶并授予角色權限。
通過IDP身份提供商賬號來扮演角色并添加權限
如果需要通過本地IDP身份提供商賬號登錄至阿里云扮演RAM角色,請登錄訪問控制,創建RAM角色。當前可信實體類型,可以選擇身份提供商。
創建可信實體類型為身份提供商的RAM角色。
登錄訪問控制在左側導航欄,單擊身份管理 > 角色。
在角色頁面,單擊創建角色,當前可信實體類型選擇身份提供商。
單擊下一步,配置角色名稱和備注。
選擇身份提供商類型、選擇身份提供商并查看限制條件后,單擊完成,頁面提示角色創建成功完成創建。
創建并添加權限策略。
在角色列表頁,單擊目標角色名稱,進入角色信息詳情頁。
選擇信任策略頁簽,單擊編輯信任策略,修改新任策略為如下腳本內容。
參數說明
在策略配置時,您需要將如下腳本中的
acs:ram::主賬號ID:saml-provider/IDP信息中的主賬號ID,替換為需要授權的賬號信息。請前往用戶信息頁面,獲取賬號ID。腳本配置
"Statement": [ { "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "saml:recipient": "https://signin.aliyun.com/saml-role/sso" } }, "Effect": "Allow", "Principal": { "Federated": [ "acs:ram::主賬號ID:saml-provider/IDP" ] } }, { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "dataworks.aliyuncs.com" ] } } ], "Version": "1" } }
單擊保存信任策略,完成權限策略配置。
步驟二:添加RAM角色至Hologres實例并授權
RAM角色需要有Hologres實例的開發權限,才能在權限范圍內使用Hologres。由于RAM角色默認沒有Hologres管控臺的查看和操作實例的權限,因此需要主賬號完成RAM相關權限授予才能進行后續操作。具體操作,請參見授予RAM用戶權限。添加RAM角色至Hologres實例,您可以通過如下方式進行授權。
登錄Hologres管理控制臺進行授權。
在左側導航欄選擇進入實例列表頁面,單擊需要授權的實例,在用戶管理頁簽找到RAM角色并新增用戶至實例。
在DB管理頁簽,為該RAM用戶授予具體的實例開發權限。
通過SQL方式授權。
您可以通過SQL方式進行授權,具體請參見權限管理概述。
若是通過RAM用戶扮演RAM角色,RAM角色默認沒有Hologres管理控制臺的權限,需要主賬號給RAM用戶在訪問控制頁面授予AliyunRAMReadOnlyAccess權限,否則RAM角色無法在Hologres管理控制臺進行任何操作。詳情請參見文檔授予RAM用戶權限。
步驟三:登錄阿里云并使用Hologres
當您完成授權之后,使用者就可以扮演user-role角色登錄并使用Hologres。
登錄阿里云。使用者可以扮演RAM角色user-role,登錄至阿里云控制臺。
登錄Hologres管理控制臺,進行實例管理和監控。
在Hologres管理控制臺單擊登錄Hologres數據庫,進入HoloWeb,進行Hologres結構設計和數據開發。具體操作請參見連接HoloWeb并執行查詢。