全部产品
Search

搜索本产品

    Resource Access Management:AssumeRoleWithOIDC

    文档中心

    Resource Access Management:AssumeRoleWithOIDC

    更新时间:Dec 24, 2025

    Meminta token Security Token Service (STS) untuk mengasumsikan peran Resource Access Management (RAM) dalam skenario single sign-on (SSO) berbasis peran menggunakan OpenID Connect (OIDC).

    Deskripsi operasi

    Prasyarat

    Coba sekarang

    Coba API ini di OpenAPI Explorer tanpa perlu penandatanganan manual. Panggilan yang berhasil akan secara otomatis menghasilkan contoh kode SDK sesuai dengan parameter Anda. Unduh kode tersebut dengan kredensial bawaan yang aman untuk penggunaan lokal.

    Test

    RAM authorization

    Tidak ada otorisasi untuk operasi ini. Jika Anda mengalami masalah saat menjalankan operasi ini, hubungi dukungan teknis.

    Parameter permintaan

    Parameter

    Type

    Required

    Description

    Example
    OIDCProviderArn

    string

    No

    Nama Sumber Daya Alibaba Cloud (ARN) dari OIDC IdP.

    Anda dapat melihat ARN tersebut di Konsol RAM atau dengan memanggil operasi.

    acs:ram::113511544585****:oidc-provider/TestOidcIdp
    RoleArn

    string

    No

    ARN dari peran RAM.

    Anda dapat melihat ARN tersebut di Konsol RAM atau dengan memanggil operasi.

    • Untuk informasi selengkapnya tentang cara melihat ARN di Konsol RAM, lihat Melihat ARN peran RAM.

    • Untuk informasi selengkapnya tentang cara melihat ARN dengan memanggil operasi, lihat ListRoles atau GetRole.

    acs:ram::113511544585****:role/testoidc
    OIDCToken

    string

    No

    Token OIDC yang dikeluarkan oleh IdP eksternal.

    Panjangnya harus antara 4 hingga 20.000 karakter.

    Catatan

    Anda harus memasukkan token OIDC asli (bukan token yang telah dienkode Base64).

    eyJraWQiOiJKQzl3eHpyaHFKMGd0****
    Policy

    string

    No

    Kebijakan yang menentukan izin dari token STS yang dikembalikan. Anda dapat menggunakan parameter ini untuk memberikan izin yang lebih sedikit kepada token STS dibandingkan izin yang dimiliki oleh peran RAM.

    • Jika Anda menentukan parameter ini, izin token STS yang dikembalikan adalah izin yang tercantum dalam nilai parameter ini dan dimiliki oleh peran RAM.

    • Jika Anda tidak menentukan parameter ini, token STS yang dikembalikan memiliki semua izin dari peran RAM.

    Panjang nilainya harus antara 1 hingga 2.048 karakter.

    {"Statement": [{"Action": ["*"],"Effect": "Allow","Resource": ["*"]}],"Version":"1"}
    DurationSeconds

    integer

    No

    Periode validitas token STS. Satuan: detik.

    Nilai default: 3600. Nilai minimum: 900. Nilai maksimum: nilai parameter MaxSessionDuration.

    Untuk informasi selengkapnya tentang cara menentukan parameter MaxSessionDuration, lihat CreateRole atau UpdateRole.

    3600
    RoleSessionName

    string

    Yes

    Nama kustom untuk sesi peran.

    Kami menyarankan agar Anda menetapkannya sebagai pengenal spesifik pengguna, seperti username. Nama ini akan dicatat dalam log ActionTrail untuk membedakan pengguna mana yang melakukan suatu aksi, yang penting untuk keperluan audit.

    Nilainya dapat berisi huruf, angka, titik (.), tanda at (@), tanda hubung (-), dan garis bawah (_).

    Panjangnya harus antara 2 hingga 64 karakter.

    TestOidcAssumedRoleSession
    Catatan

    Pengguna anonim dapat memanggil operasi AssumeRoleWithOIDC karena autentikasi untuk operasi ini dilakukan berdasarkan token OIDC. Oleh karena itu, Anda tidak perlu menentukan parameter permintaan umum berikut: Signature, SignatureMethod, SignatureVersion, dan AccessKeyId. Untuk informasi selengkapnya, lihat Parameter umum.

    Elemen respons

    Element

    Type

    Description

    Example

    object

    Parameter respons.

    RequestId

    string

    ID permintaan.

    3D57EAD2-8723-1F26-B69C-F8707D8B565D
    OIDCTokenInfo

    object

    Informasi tentang token OIDC.

    Subject

    string

    Subjek dari token OIDC.

    Nilai ini sesuai dengan nilai bidang sub dalam token OIDC.

    KryrkIdjylZb7agUgCEf****
    Issuer

    string

    URL penerbit.

    Nilai ini sesuai dengan nilai bidang iss dalam token OIDC.

    https://dev-xxxxxx.okta.com
    ClientIds

    string

    Audience. Jika terdapat beberapa audience, nilai-nilai tersebut dipisahkan dengan koma (,).

    Nilai ini sesuai dengan nilai bidang aud dalam token OIDC.

    496271242565057****
    ExpirationTime

    string

    Waktu kedaluwarsa token OIDC.

    2021-10-20T04:27:09Z
    IssuanceTime

    string

    Waktu penerbitan token OIDC.

    2021-10-20T03:27:09Z
    VerificationInfo

    string

    Informasi verifikasi tentang token OIDC. Untuk informasi selengkapnya, lihat Mengelola OIDC IdP.

    Success
    AssumedRoleUser

    object

    Identitas sementara yang digunakan untuk mengasumsikan peran RAM.

    AssumedRoleId

    string

    ID identitas sementara yang digunakan untuk mengasumsikan peran RAM.

    33157794895460****
    Arn

    string

    ARN dari identitas sementara yang digunakan untuk mengasumsikan peran RAM.

    acs:ram::113511544585****:role/testoidc/TestOidcAssumedRoleSession
    Credentials

    object

    Kredensial akses.

    SecurityToken

    string

    Token STS.

    Catatan

    Panjang token keamanan STS bersifat variabel. Untuk menghindari error, jangan tetapkan panjang maksimum untuk token ini di aplikasi Anda.

    CAIShwJ1q6Ft5B2yfSjIr5bSEsj4g7BihPWGWHz****
    Expiration

    string

    Waktu kedaluwarsa token STS. Ditampilkan dalam UTC.

    2021-10-20T04:27:09Z
    AccessKeySecret

    string

    Rahasia AccessKey.

    CVwjCkNzTMupZ8NbTCxCBRq3K16jtcWFTJAyBEv2****
    AccessKeyId

    string

    ID AccessKey.

    STS.NUgYrLnoC37mZZCNnAbez****
    SourceIdentity

    string

    Identitas sumber dari pihak yang berwenang yang mengasumsikan peran tersebut.

    Saat memanggil operasi AssumeRole, Anda dapat mengonfigurasi parameter SourceIdentity untuk memberi tag sesi dengan identitas aslinya. Nilai ini bersifat immutable dan tetap ada sepanjang sesi perantai peran (role-chaining sessions, yaitu ketika satu peran mengasumsikan peran lain), sehingga menyediakan cara andal untuk melacak aksi kembali ke pengguna asli untuk keperluan audit dan keamanan.

    Parameter ini hanya dikembalikan jika Anda menyetel SourceIdentity dalam panggilan AssumeRole.

    Alice

    Contoh

    Respons sukses

    JSONformat

    {
  "RequestId": "3D57EAD2-8723-1F26-B69C-F8707D8B565D",
  "OIDCTokenInfo": {
    "Subject": "KryrkIdjylZb7agUgCEf****",
    "Issuer": "https://dev-xxxxxx.okta.com",
    "ClientIds": "496271242565057****",
    "ExpirationTime": "2021-10-20T04:27:09Z",
    "IssuanceTime": "2021-10-20T03:27:09Z",
    "VerificationInfo": "Success"
  },
  "AssumedRoleUser": {
    "AssumedRoleId": "33157794895460****",
    "Arn": "acs:ram::113511544585****:role/testoidc/TestOidcAssumedRoleSession"
  },
  "Credentials": {
    "SecurityToken": "CAIShwJ1q6Ft5B2yfSjIr5bSEsj4g7BihPWGWHz****",
    "Expiration": "2021-10-20T04:27:09Z",
    "AccessKeySecret": "CVwjCkNzTMupZ8NbTCxCBRq3K16jtcWFTJAyBEv2****",
    "AccessKeyId": "STS.NUgYrLnoC37mZZCNnAbez****"
  },
  "SourceIdentity": "Alice"
}

    Kode kesalahan

    Lihat Error Codes untuk daftar lengkap.

    Catatan rilis

    Lihat Release Notes untuk daftar lengkap.