通過 IDaaS 使用 AD、釘釘、企業(yè)微信等身份登錄云效
本文介紹如何通過 IDaaS,使用釘釘、企業(yè)微信、飛書、AD、OpenLDAP、Okta、AzureAD 等身份登錄到云效。
基礎(chǔ)介紹
云身份服務(wù) IDaaS(英文名:Alibaba Cloud IDentity as a Service,簡稱IDaaS)是阿里云為企業(yè)用戶提供云原生經(jīng)濟(jì)的、便捷的、標(biāo)準(zhǔn)的身份及權(quán)限管理體系。更多說明,請參考什么是IDaaS EIAM?。
IDaaS 支持多種上游企業(yè)身份體系的集成,使用這些身份單點登錄到各類下游應(yīng)用(如云效),實現(xiàn)兩個打通:
數(shù)據(jù)流的打通:將上游企業(yè)身份數(shù)據(jù)同步到 IDaaS,并由 IDaaS 同步到下游應(yīng)用
認(rèn)證流的打通:使用這些身份登錄到 IDaaS 以及通過 IDaaS 中集成的應(yīng)用。
IDaaS 所支持的企業(yè)身份集成請參考身份提供方。
使用演示
通過 IDaaS 應(yīng)用門戶訪問
直接訪問云效地址
配置流程
步驟一、開通 IDaaS 實例
在正式開始配置之前,請訪問阿里云 IDaaS 控制臺,創(chuàng)建 IDaaS 實例。您可以參考1. 免費(fèi)開通實例完成創(chuàng)建。
步驟二、在 IDaaS 中綁定身份提供方
IDaaS 標(biāo)準(zhǔn)支持眾多企業(yè)上游身份的對接,同時支持私有化 Connector 組件定制對接企業(yè)非標(biāo)準(zhǔn)身份體系(如自建用戶中心)。以下是 IDaaS 已經(jīng)支持的企業(yè)上游身份:
步驟三、配置云效單點登錄
單點登錄到云效時,需要協(xié)同 RAM 賬號實現(xiàn)統(tǒng)一登錄,通過 RAM 用戶 SSO 實現(xiàn)云效登錄,詳情請參考:阿里云-云效 SSO
由于阿里云-云效 SSO 基于阿里云用戶 SSO 實現(xiàn),且每個阿里云賬號僅支持配置一個用戶 SSO 身份提供商,因此通過 IDaaS 配置云效 SSO 后,用戶將需要通過該 IDaaS 實例才可用戶 SSO 訪問對應(yīng)的阿里云賬號中的資源。
如果您的阿里云賬號正在使用用戶SSO,請謹(jǐn)慎評估和調(diào)整配置(如:使用非生產(chǎn)賬號測試、確認(rèn)生產(chǎn)賬號沒有使用用戶 SSO 能力),以避免影響正常使用。
步驟四、配置云效數(shù)據(jù)同步
云效中的成員需要由阿里云 RAM 創(chuàng)建,您可以將 IDaaS 賬戶同步到 RAM,并將 RAM 用戶同步到云效。詳情請參考:
將 IDaaS 賬戶同步到 RAM:在IDaaS中通過SCIM同步賬戶至RAM
將 RAM 用戶同步到云效(推薦使用自動同步):添加 RAM 用戶