可信實體為身份供應商的RAM角色主要用於實現企業IdP與阿里雲的單點登入(角色SSO)。該RAM角色允許可信的身份供應商下的使用者扮演。
前提條件
請確保您已建立了身份供應商:
SAML身份供應商:具體操作,請參見管理SAML身份供應商。
OIDC身份供應商:具體操作,請參見建立OIDC身份供應商。
建立SAML身份供應商的RAM角色
在基於SAML 2.0的角色SSO(單點登入)情境下,您需要建立可信實體為SAML身份供應商的RAM角色。
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在角色頁面,單擊建立角色。
在建立角色頁面,選擇可信實體類型為身份供應商,然後單擊下一步。
輸入角色名稱和備忘。
選擇身份供應商類型為SAML。
選擇身份供應商並查看限制條件。
說明目前只支援一個條件關鍵字
saml:recipient,必選且不能修改。單擊完成。
單擊關閉。
建立OIDC身份供應商的RAM角色
在基於OIDC的角色SSO(單點登入)情境下,您需要建立可信實體為OIDC身份供應商的RAM角色。
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在角色頁面,單擊建立角色。
在建立角色頁面,選擇可信實體類型為身份供應商,然後單擊下一步。
輸入角色名稱和備忘。
選擇身份供應商類型為OIDC。
選擇身份供應商並設定限制條件。
支援的限制條件如下表所示:
限制條件關鍵字
說明
是否必選
樣本
oidc:iss
OIDC頒發者(Issuer)。用來扮演角色的OIDC令牌中的iss欄位值必須滿足該限制條件要求,角色才允許被扮演。
該限定條件必須使用StringEquals作為條件操作類型,條件值只能是您在OIDC身份供應商中填寫的頒發者URL。該限制條件用於確保只有受信頒發者頒發的OIDC令牌才能扮演角色。
是
https://dev-xxxxxx.okta.com
oidc:aud
OIDC受眾(Audience)。用來扮演角色的OIDC令牌中的aud欄位值必須滿足該限制條件要求,角色才允許被扮演。
該限定條件必須使用StringEquals作為條件操作類型,您可選擇在OIDC身份供應商中配置的一個或多個用戶端ID(Client ID)作為條件值。該限制條件用於確保只有您設定的Client ID產生的OIDC令牌才能扮演角色。
是
0oa294vi1vJoClev****
oidc:sub
OIDC主體(Subject)。用來扮演角色的OIDC令牌中的sub欄位值必須滿足該限制條件要求時,角色才允許被扮演。
該限定條件可以使用任何String類的條件操作類型,且您可以最多設定10個OIDC主體作為條件值。該限制條件用於進一步限制允許扮演角色的身份主體,您也可以不指定該限制條件。
否
00u294e3mzNXt4Hi****
單擊完成。
單擊關閉。
後續步驟
成功建立RAM角色後,該RAM角色沒有任何許可權,您需要為該RAM角色授權。具體操作,請參見為RAM角色授權。