全部產品
Search

搜尋本產品

    Identity as a Service:建立聯邦憑證

    文件中心

    Identity as a Service:建立聯邦憑證

    更新時間:Nov 11, 2025

    本文介紹了在阿里雲 IDaaS 中建立和管理PCA、OIDC、PKCS#7的三種聯邦憑證的完整操作流程,包括參數配置說明和通過授權伺服器 Token 端點擷取 Access Token 的具體方法。

    操作步驟

    1. 登入IDaaS管理主控台,在左側導覽列中,選擇 EIAM 雲身份服務 。選擇對應的 IDaaS 執行個體,單擊操作列的存取控制台

    2. 單擊應用管理 > M2M應用管理 > 添加應用

    3. 通用配置頁簽建立聯邦憑證。定位到凭证管理欄,查看聯邦凭证类型:PCA、OIDC、PKCS#7 的3個選項。

      說明

      如需詳細瞭解各聯邦信任源的功能特性及應用情境,請參見:聯邦信任源介紹

      1. 選擇 PCA 憑證,單擊新增联邦凭证,填寫以下配置參數。填寫完成後,單擊确定

        欄位

        說明

        联邦信任源

        選擇一個已建立的PCA聯邦信任源,若未建立,請參見:建立 PCA 信任源

        联邦凭证类型

        PCA

        联邦凭证名称

        当前联邦凭证名称填写后不能修改,请谨慎填写。支持的字符有:小写字母,数字,下划线(_),中横线(-)

        校验条件模式

        校正模式用於選擇當前聯邦憑證的校正條件是以何種方式產生的。當前支援認證模式和用戶端認證欄位運算式校正模式兩種。

        • 证书模式:認證模式為捷徑,如果使用者只想校正用戶端認證的一般名稱(CN),可以選擇該模式。使用者只需要填寫用戶端認證的CN值,IDaaS將自動產生運算式填入校正條件欄位。

        • 客户端证书字段表达式校验模式:該模式為進階進階模式,使用者可以自訂運算式,用於校正用戶端認證的多個欄位。

        客户端证书公用名(CN)

        選擇证书模式後,需要填寫該值。

        校验条件(表达式)

        選擇客户端证书字段表达式校验模式後,需要填寫該值。該欄位用於校正用戶端調用M2M授權伺服器Token端點時的入參,確保只有符合校正條件的特定入參才能擷取IDaaS頒發的Access Token,在PCA聯邦憑證情境下主要校正用戶端認證內容,信任條件最長支援10240字元。

        說明

        在進行校正時,IDaaS將會首先校正PCA聯邦信任源填寫的信任條件,信任條件通過後,再校正PCA聯邦憑證填寫的校正條件。

        描述

        描述欄位用於說明當前聯邦憑證的用途,最大長度為128個字元。

        属性映射

        屬性對應是聯邦憑證的進階功能,用於自訂Access Token中的sub欄位:當資原始伺服器啟用自訂主體標識後,系統會將屬性對應中配置的欄位值運算式(用戶端身份唯一標識)替換原sub欄位內容,格式從<clientId>變更為<clientId>:<client:activeSubjectUrn>,其中<client:activeSubjectUrn>值為屬性對應運算式計算結果。

      2. 選擇 OIDC 憑證,單擊新增联邦凭证,填寫以下配置參數。填寫完成後,單擊确定

        欄位

        說明

        联邦信任源

        選擇一個已建立的 OIDC 聯邦信任源,若未建立,請參見:建立 OIDC 信任源

        联邦凭证类型

        OIDC

        联邦凭证名称

        当前联邦凭证名称填写后不能修改,请谨慎填写。支持的字符有:小写字母,数字,下划线(_),中横线(-)

        校验条件模式

        校正模式用於選擇當前聯邦憑證的校正條件是以哪種方式產生的。

        • kubernetes模式:需要填寫 Kubernetes 叢集的命名空间服务账号主体标识欄位。

          主體識別欄位由 IDaaS 自動產生,格式為system:serviceaccount:<namespace>:<serviceaccount>。

        • 主体标识模式:需要填寫從Kubernetes叢集擷取到的Serviceaccount Token中的sub欄位值。

        • Claims字段表达式校验模式:該模式為進階進階模式,您可以自訂運算式,用於校正Serviceaccount Token中Claims的多個欄位。

        校验条件(表达式)

        該欄位用於校正用戶端調用M2M授權伺服器Token端點時的入參,確保只有通過校正的特定入參可以擷取到IDaaS頒發的Access Token。在OIDC的聯邦憑證情境下,校正條件主要校正傳入Token端點的Serviceaccount Token中的Claims,信任條件最長10240字元。

        描述

        描述欄位用於說明當前聯邦憑證的用途,最大長度為128個字元。

        属性映射

        屬性對應是聯邦憑證的進階功能,用於自訂Access Token中的sub欄位:當資原始伺服器啟用自訂主體標識後,系統會將屬性對應中配置的欄位值運算式(用戶端身份唯一標識)替換原sub欄位內容,格式從<clientId>變更為<clientId>:<client:activeSubjectUrn>,其中<client:activeSubjectUrn>值為屬性對應運算式計算結果。

      3. 選擇 PKCS#7 憑證,單擊新增联邦凭证,填寫以下配置參數。填寫完成後,單擊确定

        欄位

        說明

        联邦信任源

        選擇一個已建立的 PKCS#7 聯邦信任源,若未建立,請參見:建立 PKCS#7 信任源

        联邦凭证类型

        PKCS#7

        联邦凭证名称

        当前联邦凭证名称填写后不能修改,请谨慎填写。支持的字符有:小写字母,数字,下划线(_),中横线(-)

        校验条件模式

        校正模式用於選擇當前聯邦憑證的校正條件是哪何種方式產生的。

        • 指定云服务器实例模式:使用者只用填寫阿里雲ECS/ECI的執行個體ID,或者亞馬遜雲的EC2執行個體ID。IDaaS將自動產生相關運算式。

        • 签名值字段表达式校验模式:該模式為進階進階模式,使用者可以自訂運算式,用於校正PKCS#7簽名中的欄位。

        云服务器实例ID

        當選擇指定雲端服務器執行個體模式時,需要填入想要校正的雲端服務器執行個體ID。

        校验条件(表达式)

        該欄位用於校正用戶端調用M2M授權伺服器token端點時的入參,確保只有符合校正條件的特定參數才能擷取IDaaS頒發的Access Token,在PKCS#7聯邦憑證情境下主要校正簽名欄位,信任條件長度不得超過10240字元。

        描述

        描述欄位用於說明當前聯邦憑證的用途,最大長度為128個字元。

        属性映射

        屬性對應是聯邦憑證的進階功能,用於自訂Access Token中的sub欄位:當資原始伺服器啟用自訂主體標識後,系統會將屬性對應中配置的欄位值運算式(用戶端身份唯一標識)替換原sub欄位內容,格式從<clientId>變更為<clientId>:<client:activeSubjectUrn>,其中<client:activeSubjectUrn>值為屬性對應運算式計算結果。

    相關文檔