本文介紹雲效如何整合阿里雲身份源,實現阿里雲 RAM 使用者登入。
前提條件
已完成組織建立,更多資訊,請參見建立和管理組織。
配置阿里雲身份源
雲效支援綁定當前組織購買人的阿里雲帳號,並允許其 RAM 使用者登入訪問。
使用組織管理員帳號登入雲效工作台(首次登入時,需要使用Root帳號登入,如何擷取Root帳號密碼,請參見新群組織)。
在雲效工作台頁面,單擊右上方帳戶圖片,然後單擊管理後台。
在組織管理頁面,單擊身份源管理。然後選擇阿里雲,單擊添加配置進入配置詳情。
配置 OAuth 應用。
建立OAuth 公司專屬應用程式並擷取應用憑證。
注意:這一步需要在組織所屬的阿里雲 RAM 控制台完成操作。
使用當前組織執行個體購買人的阿里雲帳號登入RAM 控制台,單擊OAuth應用(公測),然後單擊建立應用。
在建立應用頁面,配置以下選項:
輸入應用程式名稱和顯示名稱。
應用類型選擇Web應用: 指基於瀏覽器互動的網路應用。
設定存取權杖有效期間和重新整理權杖有效期間。
存取權杖有效期間範圍:900秒(15分鐘)~10,800秒(3小時)。預設值為3600秒。
重新整理權杖有效期間範圍:7200秒(2小時)~31,536,000秒(1年)。預設值為2,592,000秒。
設定回調地址。注意必須填寫雲效中顯示的登入回調地址。
以上配置完成後,單擊建立應用。
在公司專屬應用程式列表中單擊目標應用程式名稱。然後單擊添加 OAuth 範圍,選擇添加 aliuid 和 profile 兩個欄位的授權。完成後單擊確定。
aliuid:擷取阿里雲頒發的唯一使用者標誌符 UID(包括 RAM 使用者 UID 和所屬主帳號 UID)。
profile:擷取登入使用者的 RAM 使用者名稱稱(主帳號訪問擷取登入名稱稱,RAM 使用者訪問擷取登入名稱 UPN 名稱和顯示名稱)。
擷取應用 ID和AppSecretValue的值。
應用 ID:在公司專屬應用程式列表中查看應用 ID 的值。
AppSecretValue:在應用詳情頁面,單擊應用密鑰,並單擊建立密鑰,即可產生 AppSecretValue。單擊下載 CSV 檔案,即可下載到本地,注意 AppSecretValue 僅展示一次,請妥善儲存。
填寫上一步擷取的應用 ID的值和 AppSecretValue 的值。
單擊下一步,在開啟服務步驟單擊儲存配置即可完成阿里雲身份源整合。
單點登入開啟後,在雲效登入頁面中即可快速跳轉阿里雲登入頁面,通過阿里雲登入雲效。
配置 RAM 使用者登入雲效
配置阿里雲身份源後,在身份源管理頁面,切換登入方式為阿里雲。
配置後您可使用 RAM 使用者通過阿里雲登入雲效工作台。
重要該 RAM 使用者與組織執行個體同屬於一個阿里雲帳號,且應至少被授予
AliyunRDCReadOnlyAccess許可權。在阿里雲雲效控制台能看到當前組織即可,無需過高許可權。如何授權請參見為 RAM 使用者授權。
該組織執行個體購買人的阿里雲帳號(主帳號)和其它未授權的 RAM 使用者都會被拒絕登入。
該組織的 Root 帳號訪問依然可用,具體操作,請參見帳號與登入。
移除阿里雲身份源
使用組織管理員帳號登入雲效工作台,單擊右上方帳戶圖片並在展開的菜單中單擊管理後台。單擊身份源管理。
選擇已綁定的阿里雲身份源,單擊查看詳情。
單擊右上方移除整合,並在彈出的對話方塊中確認移除。
重要移除阿里雲整合後,將解除已有成員關聯關係,且不支援其使用阿里雲進行登入。
退出登入
RAM 使用者/Root 使用者從雲效工作台退出登入時,阿里雲帳號的登入狀態將同步失效。
會話期間和時間長度
會話期間以雲效為準,若超過雲效的登入保持時間,會退出雲效,如需繼續使用雲效需要重新登入。