Resource Access Management：通過SCIM協議同步Okta使用者到阿里雲RAM

前提條件

• 本文中所有RAM控制台的操作，推薦使用Resource Access Management員或具有OAuth系統管理權限的RAM使用者完成。

• 本文中所有Okta的操作，請使用Okta管理員（Super Administrator）帳號完成。

背景資訊

• 建立使用者：Okta分配使用者到應用後，RAM會自動建立同名使用者，Okta使用者名稱的網域名稱尾碼將會自動替換為RAM使用者網域名稱。

• 更新使用者屬性：當您在Okta更改使用者屬性，將自動同步更新RAM使用者屬性，該功能取決於Okta是否配置開啟屬性自動更新。當前僅支援UserName、DisplayName。

• 當您在Okta刪除使用者或取消使用者指派，Okta會將使用者狀態置為“active=false”。RAM使用者無啟用、禁用狀態，不支援Okta對使用者Inactive的狀態同步，因此同步至RAM的使用者不做變更。

• 不支援同步Okta的使用者組。

步驟一：在RAM控制台建立OAuth應用並授權

1. 建立OAuth應用。

   1. 登入RAM控制台。

   2. 在左側導覽列，選擇整合管理 > OAuth應用（公測）。

   3. 在公司專屬應用程式頁簽，單擊建立應用。

   4. 在建立應用頁面，設定應用參數。

      1. 輸入應用程式名稱和顯示名稱。

      2. 選擇應用類型為Native應用。

      3. 設定存取權杖有效期間。

      4. 設定重新整理權杖有效期間。

   5. 單擊建立應用。

2. 授權應用範圍。

   1. 在公司專屬應用程式頁簽，單擊目標應用程式名稱。

   2. 在OAuth範圍頁簽，單擊添加OAuth範圍。

   3. 在添加OAuth範圍面板，選擇/acs/scim。

   4. 單擊確定。

3. 建立應用密鑰。

   1. 單擊應用密鑰頁簽，然後單擊建立密鑰。

   2. 在建立密鑰對話方塊，查看並複製建立成功的應用密鑰，然後單擊關閉。

      重要

      應用金鑰產製原料（AppSecretValue）僅在建立時可見，不支援查詢，請及時儲存。

步驟二：在Okta建立應用

1. 登入Okta門戶。
2. 單擊頁面右上方的帳號表徵圖，然後單擊Your Org。
3. 在左側導覽列，選擇Applications > Applications。
4. 在Applications頁面，單擊Create App Integration。
5. 在Create a new app integration對話方塊，單擊SAML 2.0，然後單擊Next。
6. 配置應用程式名稱為AliyunSSODemo，單擊Next。
7. 配置SAML，然後單擊Next。
   

   • Single sign on URL為步驟一：在阿里雲擷取SAML服務提供者中繼資料中記錄的Location。
   • Audience URI為步驟一：在阿里雲擷取SAML服務提供者中繼資料中記錄的entityID。
   • Default RelayState用來配置使用者SSO登入成功後跳轉到的阿里雲頁面。
     說明 出於安全原因，您只能填寫阿里巴巴旗下的網域名稱URL作為Default RelayState的值，例如：*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com，否則配置無效。若不配置，預設跳轉到阿里雲控制台首頁。
   • Name ID format選擇Persistent。
   • Application username選擇Email。
8. 在Feedback頁面，根據需要選擇合適的應用類型，然後單擊Finish。

步驟三：在Okta配置SCIM同步

1. 啟用SCIM同步。

   1. 在步驟二：在Okta建立應用建立的應用中，單擊General頁簽。

   2. 在App Settings地區，單擊Edit。

   3. 選中Enable SCIM provisioning，然後單擊Save，啟用SCIM同步。

2. 配置SCIM串連參數。

   1. 單擊Provisioning頁簽。

   2. 在左側導覽列，單擊Integration。

   3. 在SCIM Connection地區，單擊Edit，配置以下參數。

      • SCIM connector base URL：輸入https://scim.aliyun.com。

      • Unique identifier field for users：輸入userName。

      • Supported provisioning actions：選中Import New Users and Profile Updates和Push New Users。

        說明

        Push Profile Updates為可選，表示屬性變更是否自動更新。

      • Authentication Mode：選擇OAuth 2。

   4. 配置OAuth 2參數。

      • Access token endpoint URI：輸入https://oauth.alibabacloud.com/v1/token。

      • Authorization endpoint URI：輸入https://signin.alibabacloud.com/oauth2/v1/auth。

      • Client ID：輸入在步驟一：在RAM控制台建立OAuth應用並授權中建立的阿里雲OAuth應用ID。

      • Client Secret：輸入在步驟一：在RAM控制台建立OAuth應用並授權中建立的應用密鑰。

   5. 單擊Save。

3. 擷取回調地址。

   1. 在Provisioning頁簽，單擊左側導覽列的Integration。

   2. 在頁面最底端，單擊Authenticate with xxx。

   3. 在彈出的頁面中，複製回調地址（redirect url）。

   4. 登入阿里雲RAM控制台，在步驟一：在RAM控制台建立OAuth應用並授權建立的應用中填入回調地址。

   5. 返回Okta當前配置頁面，單擊Authenticate with xxx，然後登入阿里雲控制台，完成驗證。

4. 配置使用者同步參數。

   1. 在Provisioning頁簽，單擊左側導覽列的To App。

   2. 在Provisioning to App地區，單擊Edit。

   3. 在Create User地區，選中Enable，然後單擊Save。

      說明

      如果SCIM Connection中配置了Push Profile Updates，您還需要在此處將Push Profile Updates也設定為Enable。

   4. 在<App Name> Attribute Mappings地區，配置屬性對應，刪除不需要的屬性，僅保留下圖所示的屬性。

      

   5. 在Sign on頁簽，單擊Edit。

   6. 將Application username format設定為Okta username prefix，然後單擊Save。

5. 為應用程式指派使用者。

   1. 在Assignments頁簽，單擊Assign。

   2. 單擊Assign to People，分配使用者到應用。

驗證結果

上述步驟完成後，Okta使用者會自動同步到RAM中。您可以登入RAM控制台，在RAM使用者列表中，查看同步成功的使用者，同步成功的使用者同步類型標識為SCIM 同步。