無法通過 PKCS#7、OIDC 等聯邦憑證方式進行認證的情境下,IDaaS 支援通過 OpenAPI 的方式擷取用戶端 Access Token。 本文介紹使用 OpenAPI 認證所需的阿里雲 RAM 許可權相關配置。
使用 OpenAPI 認證時,需先通過阿里雲 RAM 角色擷取 STS Token。使用 STS Token 訪問 IDaaS 的 OpenAPI,擷取對應應用的 Access Token。阿里雲 RAM 角色需具備訪問 IDaaS 應用的許可權。本文檔以Function Compute服務為例進行說明。
建立權限原則
登入 RAM 存取控制的控制台。
單擊導覽列。
單擊創建權限策略。
單擊腳本編輯,將修改後的權限原則複製到編輯框中。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "eiam:GenerateOauthToken", "Resource": [ "acs:eiam:<regionId>:<accountId>:instance/<InstanceId>/application/<ApplicationId>" ] } ] }權限原則中的 Resource 欄位值需按照實際情況填寫。將
<regionId>替換為IDaaS EIAM 執行個體所在地區 ID,<accountId>替換為阿里雲主帳號 ID,<InstanceId>替換為 IDaaS EIAM 執行個體 ID,<ApplicationId>替換為所要訪問的 IDaaS M2M 用戶端應用的應用 ID。單擊確認並給權限原則命名,樣本:openapi-authentication-policy。
建立 RAM 角色並關聯許可權
登入 RAM 存取控制的控制台。
單擊導覽列。
單擊創建角色,信任主體類型選擇雲服務,信任主體名稱選擇Function Compute / FC。
單擊確認,並給角色命名,樣本: openapi-authentication-fc-role。
定位剛建立的角色,單擊操作列下的新增授權。
權限策略中選擇 openapi-authentication-policy,單擊確認新增授權。
掛載 RAM 角色
登入Function Compute控制台。
單擊導覽列函数管理 > 函數列表。
定位目標函數執行個體,單擊操作列下的配置。
在函数详情頁簽下,單擊高级配置右側的编辑。
在权限中選擇 openapi-authentication-fc-role 角色。
配置完成後,單擊部署。