IDaaS支援作為SCIM Server服務端,通過SCIM協議(System for Cross-domain Identity Management,跨域身份管理系統)與應用進行賬戶和組資料的同步。SCIM協議旨在規範不同系統間的身份資料共用原則和介面定義,從而提升身份系統之間的互通性(Interoperability)。
適用範圍
已開通應用身份服務(IDaaS)並在EIAM 雲身份服務下建立執行個體。
第三方身份體系支援SCIM協議,並已準備好相關配置資訊。
步驟一:建立應用
登入阿里雲IDaaS控制台,單擊左側導覽列的EIAM 云身份服务,在右側IDaaS下的執行個體列表中,定位目標執行個體,單擊操作列下的访问控制台。
在应用身份服务頁面的左側導覽列中,選擇,隨後在应用列表頁面單擊添加应用。
根據需求,選擇标准协议或自研应用,單擊添加应用或添加自研应用。
說明預設僅標準應用程式和自研應用支援同步到 IDaaS。
在彈出的對話方塊中,修改应用名称,單擊立即添加,進入應用詳情頁面。
步驟二:設定賬戶同步範圍
在應用詳情頁的頂部頁簽欄中,選擇账户同步,設定同步范围。
在彈出的设置同步范围面板中,選擇目標组织和组。
步驟三:設定应用同步到IDaaS參數
在账户同步下,單擊应用同步到IDaaS頁簽,參考以下內容,填寫基礎配置。
同步目标:
指定無所屬組織的 IDaaS 賬戶在通過 SCIM 匯入賬戶時,自動歸屬的組織(已有所屬組織時不受影響)。僅能選擇 IDaaS 同步范围中的組織作為同步目标。
Bearer Token:
單擊添加 Bearer Token,在彈出的设置有效期面板中設定Bearer Token 有效期,有效期間可選範圍為1天至3年。
Bearer Token是一種安全憑證,持有人可憑藉此令牌訪問受保護的資源,無需重複提供身分識別驗證資訊(如使用者名稱和密碼)。其作為一種重要的用戶端身份憑證,與 Client ID/Secret 共同用於憑證管理。在配置時,需遵循以下規則:
數量限制:系統最多允許存在兩個 Bearer Token。
狀態要求:必須保持至少一個令牌處於“啟用”狀態。
刪除流程:刪除一個令牌前,必須先將其狀態設定為“禁用”。
SCIM Base URL:
SCIM 介面的地址,提供給 SCIM Client 調用。
开放接口权限:
通過 SCIM 同步資料到 IDaaS時,需在API 开放中開放SCIM API 接口权限,以供應用調用。
單擊前往授权,進入API 开放頁面。
在頁面頂部,單擊API 开放後的
,然後在彈出的启用提示面板中,單擊确认启用。在SCIM API 接口权限地區,選擇所有功能场景,然後單擊保存。
填寫進階配置。
以上配置僅支援基礎欄位同步至IDaaS,若需同步更多欄位,可通過進階配置將其同步至IDaaS的擴充欄位中。單擊应用同步到IDaaS下的显示高级配置,設定如下參數。
自定义字段Namespace:指定Namespace,必須和第三方系統中的Namespace保持一致。
Okta:建議填寫
urn:ietf:params:scim:schemas:extension:customfield:2.0:User。Microsoft Entra ID(Azure AD):建議填寫
urn:ietf:params:scim:schemas:extension:${CustomExtensionName}:2.0:User,其中${CustomExtensionName}為變數,請根據實際情況進行調整。
同步目标字段:選擇需要同步的目標欄位(僅支援扩展字段),支援選擇多個。如需設定扩展字段可參考建立擴充欄位。
完成上述配置後,單擊保存即可。
支援同步的基礎欄位
User:
SCIM欄位 | IDaaS欄位 | 說明 |
id | userId | 使用者唯一ID |
userName | username | 使用者名稱 |
displayName | displayName | 使用者顯示名稱 |
phoneNumbers [type eq "work"] | phoneNumber | 手機號 若手機號帶區號,前面必須加"+" 僅支援一個phoneNumber的儲存,且type=work |
phoneRegion | phoneRegion | 手機號區號 若不填且手機號帶區號則截取手機號中的區號; 若填寫,且該欄位與手機號中的區號不一致,則報錯; 若不填且手機號未包含區號,則預設"86" |
emails [type eq "work"] | 僅支援一個email的儲存,且type=work | |
externalId | userExternalId | 外部ID |
active | status | 使用者狀態 active=true時,status為enabled active=false時,status為disabled |
password | password | 密碼,明文。若格式不正確則報錯 |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User
| - | - |
organizationId | 賬戶所屬組織的ID。 若無值,則賬戶放在同步目標下 若有值,則賬戶放在該組織下 |
Group:
SCIM欄位 | IDaaS欄位 | 說明 |
id | groupId | 組唯一ID |
displayName | groupName | 組名稱 |
externalId | groupExternalId | 組外部ID |
members
| - | 群組成員 |
- | 群組成員類型,只支援User | |
userId | 使用者唯一ID | |
- | 成員資源的完整URL |
生產環境使用建議
最佳實務
Bearer Token 管理:啟用輪換機制,定期更新 Token,避免長期暴露單一憑證。
同步範圍最小化:僅開放必要組織與組,降低誤同步風險。
監控同步狀態:關注 API 呼叫頻率與失敗日誌,及時發現異常行為。
容錯與安全
禁止刪除最後一個啟用的 Token,否則會導致同步中斷。
欄位一致性校正:確保外部系統發送的
phoneNumbers、emails類型正確,否則同步失敗。等冪性保障:重複提交相同使用者資料應視為更新而非建立。
相關文檔
將上遊應用通過SCIM配置到IDaaS,請參見:通過SCIM同步Microsoft Entra ID(Azure AD)使用者或使用者組、通過SCIM同步Okta使用者或使用者組。
通過SCIM將應用資料同步到IDaaS時,如果應用標準支援SCIM協議,完成配置後應用將自行調用IDaaS SCIM API,您無需手動調用。請參見:EIAM支援的SCIM 2.0介面。
企業可通過應用管理帳號,並即時同步資料至IDaaS。請參見:賬戶資料同步。
IDaaS向企業開發人員提供API,用於賬戶和組織資訊的匯入與同步,請參見:應用 API 開放。