Resource Access Management：在阿里雲IDaaS中通過SCIM同步賬戶到阿里雲RAM

前提條件

1. 您的阿里雲帳號或RAM使用者有建立OAuth應用的許可權。

2. 您的阿里雲帳號或RAM使用者有為ServerApp授權的許可權，且您僅能給自己帳號下的ServerApp授權。

步驟一：在RAM控制台建立OAuth應用並授權

1. 使用阿里雲帳號登入RAM控制台。

2. 在左側導覽列，單擊OAuth應用（公測） > 公司專屬應用程式 > 建立應用。

3. 填寫應用程式名稱、顯示名稱。在應用類型選擇Server應用，單擊建立應用按鈕即可完成建立。

4. 單擊建立的應用程式名稱，在OAuth範圍頁簽，單擊添加OAuth範圍。在彈出的添加OAuth範圍頁面中，勾選/acs/scim，然後單擊確定。

5. 為OAuth應用授權。在應用 OAuth 範圍頁簽，單擊授權。跳轉到應用授權頁面，選中阿里雲跨域身份管理服務，然後單擊授權。

6. 在應用密鑰頁簽，單擊建立密鑰，系統將自動產生應用金鑰組（包含AppSecretId和AppSecretValue）。

7. 密鑰產生成功後。單擊下載密鑰將密鑰檔案儲存至安全位元置。確認儲存完成後，單擊關閉退出當前視窗。

   重要

   密鑰僅在此刻顯示，關閉後無法再次擷取。

步驟二：在IDaaS配置SCIM同步

1. 在IDaaS執行個體控制台應用介面，單擊添加應用進入應用市場 ，選擇阿里雲使用者SSO應用模板進行添加。

2. 切換至賬戶同步頁簽，設定同步範圍後單擊儲存。

3. 開啟IDaaS 同步到應用。

4. 基礎配置。

   1. 填寫client_id和client_secret。

      1. 登入RAM控制台。在左側導覽列，選擇整合管理 > OAuth 應用（公測）。

      2. 找到您要用於SCIM同步的應用程式，點擊其名稱進入詳情頁。

      3. 在應用詳情頁的基本資料部分，可以擷取應用ID（即client_id）。

      4. 在步驟一密鑰產生處的AppSecretValue處擷取client_secret。

   2. 操作調用：管理員可訂閱指定變更事件（如使用者建立、更新、刪除等），當IDaaS發生相關變更時，系統自動觸發同步，即時推送至目標應用。

   3. 全量推送範圍：勾選後，一鍵推送時會將對應資料推送到應用。

5. 欄位對應：支援自訂SCIM欄位對應關係，根據業務需求靈活調整屬性匹配規則。調整完成後，單擊儲存映射按鈕，確保資料準確同步。

6. 在配置完成後，單擊儲存。建議您通過測試連接功能檢查配置是否正確。

   若有需要，管理員可以通過一鍵推送功能，將在同步範圍內的賬戶一次性全部推送到RAM中。

步驟三：在IDaaS中進行同步操作

單擊一鍵推送後同步範圍內賬戶會同步至RAM。

相關文檔

• 如果在同步過程中遇到RAM賬戶刪除失敗的問題，請參見：IDaaS同步刪除RAM帳號失敗如何解決？