全部產品
Search

搜尋本產品

    Resource Access Management:OAuth應用概覽

    文件中心

    Resource Access Management:OAuth應用概覽

    更新時間:Sep 25, 2025

    RAM支援使用OAuth 2.0、OAuth 2.1協議進行使用者認證和應用授權。本文介紹阿里雲OAuth服務的基本概念、應用情境和OAuth範圍。

    基本概念

    概念

    說明

    使用者

    使用者需要登入到阿里雲並授權應用訪問阿里雲資源。使用者可以是阿里雲帳號(主帳號)、RAM使用者和RAM角色。

    說明

    2024年09月10日之前已建立的OAuth應用不支援RAM角色,請提交工單申請。

    阿里雲OAuth服務

    阿里雲OAuth服務對使用者進行認證,並接受使用者對應用的授權,產生代表使用者身份的令牌並返回給被授權的應用。

    公司專屬應用程式

    當前阿里雲帳號下建立的應用,本帳號下的使用者無需授權即可直接存取,其他阿里雲帳號下的使用者需要安裝和授權後才能訪問。

    您可以建立以下類型的公司專屬應用程式:

    • Web應用:指基於瀏覽器互動的網路應用。

    • Native應用:指作業系統中啟動並執行本地應用,主要為運行在案頭作業系統或移動作業系統中的應用。

    • Server應用:指直接存取阿里雲服務,而無需依賴使用者登入的應用。目前僅支援基於SCIM協議的使用者同步應用。

    第三方應用

    經過安裝和授權的、非本帳號建立的應用。

    官方應用

    由阿里雲服務提供的應用,所有阿里雲帳號均可主動安裝。因為該類應用非本帳號建立,所以官方應用屬於第三方應用。

    OAuth範圍

    OAuth服務通過OAuth範圍來限定應用扮演使用者登入阿里雲後可以訪問的範圍。支援的範圍如下:

    • openid:用於擷取使用者的OpenID(預設許可權範圍,不可移除)。

      說明

      擷取到的OpenID是一個可以唯一代表使用者的字串,但並不包含阿里雲UID、使用者名稱等資訊。如果需要這些資訊,需要使用aliuid、profile等許可權範圍。

    • aliuid:用於擷取阿里雲頒發的唯一使用者標誌符UID(包括RAM使用者UID和所屬主帳號UID)。

    • profile:用於擷取登入使用者的RAM使用者名稱稱(主帳號訪問擷取登入名稱稱,RAM使用者訪問擷取登入名稱UPN名稱和顯示名稱)。

    • /acs/ccc:用於訪問阿里雲話務中心服務API。

    • /acs/cloudesl:用於訪問阿里雲價簽服務API。

    • /acs/alidns:用於訪問阿里雲解析API。

    • /acs/scim:用於訪問阿里雲跨域身份管理服務。

    • /acs/digitalstore:用於訪問數字化門店(Digital Store)。

    • /acs/scsp:用於訪問智能客服平台(Smart Customer Service Platform)。

    • /acs/cloudgame:用於訪問雲遊戲平台(Cloud Gaming Platform)。

    • /acs/aiccs:用於訪問智能聯絡中心。

    • /acs/alimt:用於訪問機器翻譯服務。

    • /acs/easygene:用於訪問基因分析平台API。

    • /acs/mcp-server:授權官方MCP服務調用雲端服務API。

      說明

      僅OAuth 2.1 版本支援 /acs/mcp-server

    令牌

    OAuth服務可以給應用下發代表登入使用者的令牌。

    • 身份令牌:包含使用者的身份資訊,不能用於訪問阿里雲資源。

    • 存取權杖:包含使用者的身份資訊以及應用的OAuth範圍,可以用於訪問OAuth範圍內的阿里雲資源。

    • 重新整理權杖:用於換取新的存取權杖。

    阿里雲API

    應用通過調用阿里雲API可以訪問相應阿里雲資源。

    應用情境

    OAuth範圍

    阿里雲RAM產品提供openid、aliuid、profile三個OAuth範圍,獲得使用者授權可獲得下表所示的資訊。

    參數名稱

    定義

    樣本

    需要的OAuth範圍

    exp

    令牌到期時間戳記。

    1517539523

    openid

    sub

    唯一代表登入使用者的字串,但並不包含阿里雲UID、使用者名稱等資訊。

    說明

    當登入使用者為RAM角色時,sub將根據角色扮演者<RoleId:RoleSessionName>產生,每個扮演者都有獨立的sub

    123456789012****

    openid

    aud

    令牌接收者,OAuth應用ID。

    4567890123456****

    openid

    iss

    令牌頒發者。取值為https://oauth.aliyun.com

    https://oauth.aliyun.com

    openid

    iat

    令牌頒發時間戳記。

    1517533200

    openid

    aid

    登入使用者所屬的阿里雲帳號(主帳號)ID。

    177242285274****

    aliuid

    uid

    登入使用者的ID。取值:

    • 阿里雲帳號(主帳號):阿里雲帳號(主帳號)ID,與aid相同。

    • RAM使用者:RAM使用者ID。

    • RAM角色:RAM角色ID。

    20124982101502****

    aliuid

    type

    登入使用者類型。取值:

    • account:阿里雲帳號(主帳號)

    • user:RAM使用者。

    • role:RAM角色

    user

    profile

    login_name

    阿里雲帳號(主帳號)的登入名稱稱。

    說明

    阿里雲帳號(主帳號)請求時才會返回該參數。

    Alice

    profile

    upn

    RAM使用者的登入名稱稱。

    說明

    RAM使用者請求時才會返回該參數。

    Bob@examplecompany.onaliyun.com

    profile

    name

    登入使用者名稱稱。取值:

    • RAM使用者:RAM使用者的顯示名稱。

    • RAM角色:<RoleName:RoleSessionName>

    說明

    RAM使用者和RAM角色請求時才會返回該參數。

    Bob

    profile