Topik ini menjelaskan cara menggunakan protokol System for Cross-domain Identity Management (SCIM) untuk menyediakan akun dari Alibaba Cloud IDaaS (EIAM). Antarmuka SCIM standar memungkinkan Anda secara efisien menyinkronkan data pengguna dan organisasi ke aplikasi pihak ketiga. Proses ini menyederhanakan manajemen identitas dan meningkatkan efisiensi operasional. Topik ini mencakup langkah-langkah konfigurasi, panggilan API, serta catatan penting untuk membantu Anda dengan cepat mengintegrasikan informasi identitas di seluruh sistem.
Catatan
Karena spesifikasi SCIM tidak mendukung sinkronisasi organisasi, IDaaS (EIAM) tidak dapat menyinkronkan organisasi ke aplikasi hilir.
IDaaS (EIAM) mendukung sinkronisasi kelompok dan akun. Namun, kemampuan untuk menyinkronkannya ke aplikasi hilir bergantung pada kemampuan integrasi aplikasi tersebut. Sebagai contoh, Alibaba Cloud RAM hanya mendukung sinkronisasi akun, sedangkan Alibaba Cloud CloudSSO mendukung sinkronisasi akun dan kelompok.
RAM tidak peka terhadap huruf besar atau kecil. Untuk mencegah konflik saat menyinkronkan akun ke RAM atau CloudSSO menggunakan SCIM, nilai bidang akun dikonversi menjadi huruf kecil sebelum disinkronkan.
Metode Konfigurasi
Pada tab Application Management, di bawah Account Synchronization, pilih protokol SCIM sebagai metode sinkronisasi. Ini memungkinkan Anda menyinkronkan akun ke aplikasi yang mendukung protokol SCIM.
Untuk mengonfigurasi sinkronisasi SCIM, Anda harus melakukan konfigurasi baik di IDaaS maupun di aplikasi target. Sebagai contoh, untuk menyinkronkan akun ke Alibaba Cloud Resource Access Management (RAM) atau CloudSSO, lihat dokumentasi untuk aplikasi-aplikasi tersebut dan topik ini. Jika Anda ingin menyinkronkan akun ke aplikasi lain, temukan panduan sinkronisasi SCIM untuk aplikasi itu dan gunakan bersamaan dengan topik ini.
Aplikasi | Dokumen |
Alibaba Cloud CloudSSO |
Proses untuk mengonfigurasi sinkronisasi SCIM mirip dengan mengonfigurasi callback berbasis event. Pertama, tentukan cakupan sinkronisasi, lalu konfigurasikan parameter klien SCIM.
Tabel berikut menjelaskan parameter-parameter tersebut.
Bidang baru | Deskripsi |
IP Keluar | Tambahkan alamat IP keluar IDaaS ke daftar izin dalam pengaturan keamanan Anda. Ini memastikan bahwa permintaan IDaaS dapat mencapai penerima. |
URL Dasar SCIM | Masukkan alamat klien yang menerima permintaan sinkronisasi SCIM. Sebagai contoh, URL Dasar SCIM untuk Alibaba Cloud RAM tetap di: https://scim.aliyun.com. |
Otorisasi | Klien SCIM yang berbeda mungkin memerlukan metode otorisasi yang berbeda. IDaaS mendukung OAuth Client Mode dan Mode Kunci. Konfigurasikan parameter ini berdasarkan persyaratan klien Anda. Sebagai contoh, Alibaba Cloud RAM mendukung Mode Klien OAuth untuk mengotorisasi permintaan SCIM, seperti yang ditunjukkan pada gambar berikut:
|
Operasi untuk Dipanggil | Berlangganan perubahan event tertentu untuk menerima notifikasi push instan. Ketika perubahan yang dilanggan terjadi di IDaaS, sinkronisasi akan otomatis dipicu untuk memperbarui aplikasi.
Catatan Operasi yang dipilih berlaku untuk sinkronisasi inkremental dan penuh. |
Cakupan Dorongan Penuh | Ketika Anda melakukan dorongan penuh (sinkronisasi penuh), hanya data dari jenis yang dipilih dalam cakupan sinkronisasi aplikasi yang didorong ke aplikasi hilir. Sebagai contoh, Anda dapat memilih untuk hanya mendorong data akun.
Catatan Cakupan ini hanya berlaku untuk sinkronisasi penuh, bukan sinkronisasi inkremental. |
Pemetaan Bidang | Menampilkan dan memungkinkan Anda mengedit pemetaan bidang untuk proses sinkronisasi SCIM.
|
Setelah Anda menyimpan konfigurasi, klik Test Connectivity untuk memverifikasi bahwa konfigurasi sudah benar.
Jika diperlukan, Anda dapat menggunakan fitur dorongan satu klik untuk menyinkronkan semua akun dalam cakupan ke aplikasi sekaligus.
Status dukungan SCIM IDaaS (EIAM)
Platform | Dukungan SCIM | Mendukung pengambilan pengguna yang ada | Mendukung modifikasi pengguna yang ada | Pengguna yang ada berhasil diasosiasikan |
Alibaba Cloud RAM | Didukung | Didukung | Tidak didukung | Tidak didukung |
Alibaba Cloud CloudSSO | Didukung | Tidak didukung | Tidak didukung | Didukung (Secara implisit didukung melalui logika penimpaan CloudSSO untuk nama yang identik) |
Huawei Cloud IAM | Tidak didukung | |||
Huawei Cloud IAM Identity Center | Didukung | Didukung | Didukung | Didukung |
Tencent Cloud CAM | Tidak didukung | |||
Tencent Cloud Group Management | Didukung | Didukung | Didukung | Didukung (Nama pengguna tidak dapat diubah) |
Volcengine IAM | Tidak didukung | |||
Volcengine Cloud Identity Center | Didukung | Tidak didukung | Tidak didukung | Tidak didukung |
AWS/Situs Internasional IAM | Tidak didukung | |||
AWS/Situs Internasional IAM Identity Center | Didukung | Didukung | Didukung | Didukung |