您可以在自己的研發平台或工具平台嵌入免登訪問DMS控制台連結,實現無需使用阿里雲帳號或RAM使用者登入就可以直接存取DMS控制台,使用DMS的相關功能。本文介紹構造免登訪問DMS控制台連結的操作步驟。
操作流程
- 建立訪問DMS的RAM角色,並為其授權,再建立一個RAM使用者(子帳號)並為其授予AliyunSTSAssumeRoleAccess許可權。建立及授權的詳細資料,請參見準備工作。
- 擷取扮演角色的臨時身份憑證,包含AccessKey ID、AccessKey Secret和SecurityToken,該憑證用於擷取登入令牌(SigninToken)。具體的操作步驟,請參見步驟一:擷取扮演角色的臨時身份憑證。
- 擷取SigninToken,用於構造免登入訪問連結。具體的操作步驟,請參見步驟二:擷取SigninToken。
- 構造免登入訪問連結。具體的操作步驟,請參見步驟三:構造免登入訪問連結。
Java程式碼範例如下。
/*
建立子帳號、授權帳號
*/
String accountId = "主帳號";
// 用來訪問DMS產品的Role,根據您的需求添加AliyunDMSReadOnlyAccess(唯讀),AliyunDMSFullAccess許可權
String ramRole = "準備工作中建立的Role";
// 子帳號的AccessKey ID、AccessKey Secret,還需要AliyunSTSAssumeRoleAccess許可權
String accessKeyId = "";
String accessKeySecret = "";
/*
Step1 通過AssumeRole介面擷取臨時的AccessKey ID、AccessKey Secret和SecurityToken
*/
AssumeRoleResponse.Credentials credentials = assumeRole(accountId, accessKeyId, accessKeySecret, ramRole);
System.out.println("Expiration: " + credentials.getExpiration());
System.out.println("Access Key Id: " + credentials.getAccessKeyId());
System.out.println("Access Key Secret: " + credentials.getAccessKeySecret());
System.out.println("Security Token: " + credentials.getSecurityToken());
/*
Step2 擷取SigninToken
*/
String signInToken = getSignInToken(credentials.getAccessKeyId(),
credentials.getAccessKeySecret(),
credentials.getSecurityToken());
System.out.println("Your SigninToken is: " + signInToken);
/*
Step3 構造免登入訪問連結,例如DMS控制台首頁
*/
String pageUrl = getDmsLoginUrl("https://dms.aliyun.com", signInToken);
System.out.println("Your PageUrl is : " + pageUrl);準備工作
說明 若您已具備如下全部條件,可直接根據步驟一、二、三進行操作。
- 建立訪問DMS的RAM角色。具體操作,請參見建立可信實體為阿里雲帳號的RAM角色。
- 為RAM角色授權。具體操作,請參見為RAM角色授權。
- 建立RAM使用者(子帳號)。具體操作,請參見建立RAM使用者。
- 為RAM使用者授予AliyunSTSAssumeRoleAccess許可權。具體操作,請參見為RAM使用者授權。
步驟一:擷取扮演角色的臨時身份憑證
以RAM使用者或RAM角色調用AssumeRole介面,擷取扮演角色的臨時身份憑證。關於AssumeRole介面的更多資訊,請參見AssumeRole。
Java程式碼範例如下。
/**
* 通過AssumeRole介面擷取使用者臨時身份
*
* @param accountId
* @param accessKeyId
* @param accessKeySecret
* @param ramRole
* @return
* @throws ClientException
*/
private static AssumeRoleResponse.Credentials assumeRole(String accountId, String accessKeyId,
String accessKeySecret, String ramRole)
throws ClientException {
String defaultRegion = "cn-hangzhou";
IClientProfile profile = DefaultProfile.getProfile(defaultRegion, accessKeyId, accessKeySecret);
DefaultAcsClient client = new DefaultAcsClient(profile);
AssumeRoleRequest request = new AssumeRoleRequest();
// ARN是角色的全域資源描述符,用來指定具體角色
request.setRoleArn(getRoleArn(accountId, ramRole));
// 使用者自訂參數。此參數用來區分不同的令牌,可用於使用者層級的訪問審計,格式:^[a-zA-Z0-9\.@\-_]+$
request.setRoleSessionName("session-name");
// 指定的到期時間,單位為秒。到期時間範圍:900~3600,預設值為3600
request.setDurationSeconds(3600L);
AssumeRoleResponse response = client.getAcsResponse(request);
return response.getCredentials();
}步驟二:擷取SigninToken
調用GetSigninToken介面,擷取SigninToken。
Java程式碼範例如下。
/**
* 使用安全性權杖擷取SigninToken
*
* @param accesskeyId
* @param accessKeySecret
* @param securityToken
* @return
* @throws IOException
* @throws URISyntaxException
*/
private static String getSignInToken(String accesskeyId, String accessKeySecret, String securityToken)
throws IOException, URISyntaxException {
URIBuilder builder = new URIBuilder(SIGN_IN_DOMAIN);
builder.setParameter("Action", "GetSigninToken")
.setParameter("AccessKeyId", accesskeyId)
.setParameter("AccessKeySecret", accessKeySecret)
.setParameter("SecurityToken", securityToken)
.setParameter("TicketType", "normal");
HttpGet request = new HttpGet(builder.build());
CloseableHttpClient httpclient = HttpClients.createDefault();
try (CloseableHttpResponse response = httpclient.execute(request)) {
if (response.getStatusLine().getStatusCode() == HttpStatus.SC_OK) {
String context = EntityUtils.toString(response.getEntity());
JSONObject jsonObject = JSON.parseObject(context);
return jsonObject.getString("SigninToken");
} else {
System.out.println(response.getStatusLine());
}
}
return null;
}步驟三:構造免登入訪問連結
說明 擷取的SigninToken在構造訪問連結時只能使用一次,如有業務需要再次使用SigninToken,請重新擷取。
請求樣本:
private static String getDmsLoginUrl(String pageUrl, String signInToken) throws URISyntaxException {
URIBuilder builder = new URIBuilder(SIGN_IN_DOMAIN);
builder.setParameter("Action", "Login");
// 登入失效跳轉的地址,一般配置為自建WEB配置302跳轉的URL
builder.setParameter("LoginUrl", "https://signin.aliyun.com/login.htm");
// 實際訪問DMS的頁面
builder.setParameter("Destination", pageUrl);
builder.setParameter("SigninToken", signInToken);
HttpGet request = new HttpGet(builder.build());
return request.getURI().toString();
}返回樣本:
Expiration: 2020-11-30T06:16:20Z
Access Key Id: STS.NT7L6Jp5Y8W9LNvGQku2x****
Access Key Secret: 4nU8F6rv8MCDR8tygMDnXvN9yCNBCVrxnqArj1n1****
Security Token: CAIS/gF1q6Ft5B2yfSjIr5e****+nep4j5XSTmjHo1E+eb1Ujo7xijz2IH9IeXhpB****/43nWlU7PkYlrloRoReREvCKM1565kSqFn6O11Qf****+5qsoasPETOITyZtZagToeUZdfZfejXGDKgvyRvwLz****/Vli+S/OggoJmadJlNWvRL0AxZrFsKxBltdUROF****+pKWSKuGfLC1dysQcO4gEWq4bHm5zAs0OH1QOhlrVP+N+qfqLJNZc8YM1NNP6ux/Fze6b71ypd1gNH7q8ejtYfpmua74jBXgUAuU3faraOrYd1SwZ9Z7knH****/n6ifBjpvw9Hlk0R9OcVhqAAXpZx****+STGa8vctRwyTWdMM5LByes3cr1D46jaj0****/lTMkoXCwjMlCs7sc+DA9xjJCcl57eKC7A3ThnJAWQyyeKZfIGgeHN7yUS5ND8r7TBn6bMUqwvfVX****/cbkzBX6iV6jrataHZPZdtQYHH6GgvQ5XZUZJjoD****
Your SigninToken is: 06ec409b9d8c48f6ac5dcd18a0513ee1dhUkhcRn5CMsDqffC4wxsuFt9xjYtYePmYTHEWSMVKLFyXXnSq3IUbon1v46wCmKPwrAejDvw2i8rilolPSuxpKRDxz****
Your PageUrl is : http://signin.aliyun.com/federation?Action=Login&LoginUrl=https%3A%2F%2Fsignin.aliyun.com%2Flogin.htm&Destination=https%3A%2F%2Fdms.aliyun.com&SigninToken=06ec409b9d8c48f6ac5dcd18a0513ee1dhUkhcRn5CMsDqffC4wxsuFt9xjYtYePmYTHEWSMVKLFyXXnSq3IUbon1v46wCmKPwrAejDvw2i8rilolPSuxpKRDxzD****免登入訪問連結(PageUrl)的格式樣本如下。
http://signin.aliyun.com/federation?Action=Login
&LoginUrl=<登入失效跳轉的地址,一般配置為自建WEB配置302跳轉的URL>
&Destination=<實際訪問DMS服務頁面>
&SigninToken=<擷取的登入TOKEN>說明 Destination對應的DMS服務頁面,與TicketType類型有關。
- 若類型為normal,則對應的DMS網域名稱為
http://dms.aliyun.com。 - 若類型為mini,則一般應用於BID虛擬商。對應的網域名稱如下:
http://dms-jst4service.aliyun.comhttp://dms-Itwo4service.aliyun.com
後續步驟
通過構造的免登入訪問連結(PageUrl)進入DMS控制台。效果圖如下所示: