本文檔詳細介紹了在阿里雲IDaaS管理主控台中配置聯邦信任源的操作流程,包括PCA、OIDC和PKCS#7三種信任源類型的參數說明及適用情境,協助使用者實現安全的身份聯合認證管理。
操作步驟
登入IDaaS管理主控台,在左側導覽列中,選擇 EIAM 雲身份服務 。選擇對應的 IDaaS 執行個體,單擊操作列的存取控制台。
單擊。
在新增联邦信任源頁面选择联邦信任源类型,根據實際需求選擇信任源類型,如 PCA、OIDC 或 PKCS#7。
說明如需詳細瞭解各聯邦信任源的功能特性及應用情境,請參見:聯邦信任源介紹。
選擇完成後,單擊下一步並填寫以下配置參數。配置完成後,單擊确定。
PCA:Private CA(Private Certificate Authority,私人憑證授權單位)是組織或企業內部自主啟動並執行憑證授權單位(CA),用於簽發和管理僅在內部網路或特定信任域內有效數位憑證,其 PCA 聯邦信任源主要適用於個人開發電腦或配備可信平台模組(TPM,Trusted Platform Module)的實體。
欄位名
描述
联邦信任源名称
名稱支援小寫字母、數字、底線(_)及中橫線(-),長度不得超過64個字元。
联邦信任源类型
PCA
网络端点
IDaaS將使用網路端點能力,訪問PCA的根憑證的吊銷列表,確保根憑證的有效性。共用端點為共用公網出口,如您已經購買了專屬端點能力,可以使用專屬端點能力。
填写验签证书
根憑證內容為PEM格式,以“-----BEGIN CERTIFICATE-----”開頭,以“-----END CERTIFICATE-----”結尾。根憑證最多上傳兩張,用於後期進行根憑證輪轉。
信任条件
信任條件用於校正用戶端調用M2M授權伺服器Token端點時的入參,確保僅符合要求的請求可擷取IDaaS頒發的Access Token;在PCA情境下,該條件會校正用戶端認證內容,最大長度為10240字元。
描述
描述欄位用於說明聯邦信任源的作用,長度不超過128個字元。
OIDC:OIDC(OpenID Connect)作為基於 OAuth 2.0 的身分識別驗證協議,廣泛適用於需與身份提供者開展識別身分同盟的情境,尤其適用於部署在 Kubernetes Pod、GitHub Actions、CI/CD 流水線、Azure 虛擬機器及 Google Cloud Compute Engine 等環境中的服務。
欄位名
描述
联邦信任源名称
名稱支援小寫字母、數字、底線(_)及中橫線(-),長度不得超過64個字元。
联邦信任源类型
OIDC
网络端点
IDaaS使用網路端點能力,訪問Issuer地址或者JWKs地址,動態解析地址擷取驗簽公開金鑰。共用端點為共用公網出口,如您已經購買了專屬端點能力,可以使用專屬端點能力。
信任来源
信任來源是指當前OIDC聯邦信任源在解析使用者傳入的OIDC Token時,所使用的驗簽公開金鑰的擷取方式。當前的驗簽公開金鑰擷取方式為三種:靜態填充,Issuer位址解析,驗簽公開金鑰位址解析。
當選擇Issuer地址解析時:只需填寫Issuer地址。
當選擇验签公钥地址解析時:需要填寫驗簽公開金鑰的擷取地址。
當選擇静态填充時:需要手動在驗簽公開金鑰欄位填入公開金鑰資訊。
Issuer
請填寫用戶端調用IDaaS 授權伺服器Token端點時,傳入的OIDC Token的Issuer,Issuer只能時HTTPS協議,最長1024字元。
重要Issuer 填寫之後,無法更新,請謹慎檢查。
受众标识
請填寫用戶端調用IDaaS 授權伺服器Token端點時,傳入的OIDC Token的Audience,受眾標識最多支援5個,每個最長256字元。受眾標識預設值為當前IDaaS執行個體網域名稱地址,表示用戶端簽發的OIDC Token的受眾方為IDaaS執行個體。如有修改需求,可以刪除或修改。
說明如果傳入OIDC Token端點的Audience聲明不是IDaaS執行個體網域名稱,請修改該值,否則Token端點調用將失敗。
验签公钥
當信任來源為靜態填充時,需要填寫該值。
信任条件
信任條件用於校正用戶端調用M2M授權伺服器Token端點時的入參(如OIDC Token內容),確保僅合格請求能擷取IDaaS頒發的Access Token,其中Issuer和受眾標識為必填基礎欄位,最大長度限制為10240字元。
描述
描述欄位用於說明聯邦信任源的作用,長度不超過128個字元。
PKCS#7:PKCS#7 作為公開金鑰基礎設施(PKI)中的基礎標準,廣泛應用於需保障資料完整性與機密性的情境,尤其適用於部署在阿里雲 ECS、阿里雲ECI、AWS EC2 等雲廠商環境中的服務。
欄位名
描述
联邦信任源名称
名稱支援小寫字母、數字、底線(_)及中橫線(-),長度不得超過64個字元。
联邦信任源类型
PKCS#7
信任来源
當用戶端服務部署在阿里雲 ECS 時選擇阿里雲類型,部署在亞馬遜雲 EC2 時選擇亞馬遜雲類型。
签名有效期
簽名有效期間欄位用於填寫用戶端調用 IDaaS 授權伺服器 Token 端點時,傳入的 PKCS#7 簽名的有效期間時間。阿里雲預設有效期間時間為3600秒。亞馬遜雲有效期間時間為30天。
获取签名时间的表达式
該欄位顯示了 IDaaS 如何解析傳入的 PKCS#7 簽名的簽章時間。該欄位不允許修改。
阿里雲:pkcs7.payload.jsonData.audience.signingTime
亞馬遜云:pkcs7.signingTime
填写根证书
請上傳 PKCS#7 簽名時使用的根憑證。
阿里雲:當前阿里雲全球使用同一份認證,IDaaS已經預設填入了阿里雲根憑證。
亞馬遜云:必須使用 RSA-2048 類型的根憑證,其他類型(如PKCS#7)將無法通過驗證。亞馬遜雲每個地區的根憑證都不相同,請選擇當前用戶端服務部署的地區的根憑證。如果服務部署在多個地區,可以上傳多張根憑證。詳情請參考:執行個體身份文檔簽名的 AWS 公有認證。
云账户 ID
請填寫用戶端服務部署的雲端服務器所屬的雲帳號ID,最長128字元。
实例标识签名对象
預設為 IDaaS 的執行個體 ID。
描述
描述欄位用於說明聯邦信任源的作用,長度不超過128個字元。
完成對聯邦信任源的建立之後,可以對聯邦信任源進行管理,如状态啟用或關閉,查看详细信息以及编辑等操作。