本文介绍如何创建可信实体为身份提供商的RAM角色。该角色主要用于实现企业IdP与阿里云的单点登录(角色SSO)。
前提条件
请确保您已创建了身份提供商:
- SAML身份提供商:具体操作,请参见创建SAML身份提供商。
- OIDC身份提供商:具体操作,请参见创建OIDC身份提供商。
创建SAML身份提供商的RAM角色
在基于SAML 2.0的角色SSO(单点登录)场景下,您需要创建可信实体为SAML身份提供商的RAM角色。
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择。
- 在角色页面,单击创建角色。
- 在创建角色面板,选择可信实体类型为身份提供商,然后单击下一步。
- 输入角色名称和备注。
- 选择身份提供商类型为SAML。
- 选择身份提供商并查看限制条件,然后单击完成。 说明 目前只支持一个条件关键字
saml:recipient,必选且不能修改。 - 单击关闭。
创建OIDC身份提供商的RAM角色
在基于OIDC的角色SSO(单点登录)场景下,您需要创建可信实体为OIDC身份提供商的RAM角色。
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择。
- 在角色页面,单击创建角色。
- 在创建角色面板,选择可信实体类型为身份提供商,然后单击下一步。
- 输入角色名称和备注。
- 选择身份提供商类型为OIDC。
- 选择身份提供商并设置限制条件,然后单击完成。 支持的限制条件如下表所示:
限制条件关键字 说明 是否必选 示例 oidc:iss OIDC颁发者(Issuer)。用来扮演角色的OIDC令牌中的iss字段值必须满足该限制条件要求,角色才允许被扮演。 该限定条件必须使用StringEquals作为条件操作类型,条件值只能是您在OIDC身份提供商中填写的颁发者URL。该限制条件用于确保只有受信颁发者颁发的OIDC令牌才能扮演角色。
是 https://dev-xxxxxx.okta.com oidc:aud OIDC受众(Audience)。用来扮演角色的OIDC令牌中的aud字段值必须满足该限制条件要求,角色才允许被扮演。 该限定条件必须使用StringEquals作为条件操作类型,您可选择在OIDC身份提供商中配置的一个或多个客户端ID(Client ID)作为条件值。该限制条件用于确保只有您设置的Client ID生成的OIDC令牌才能扮演角色。
是 0oa294vi1vJoClev**** oidc:sub OIDC主体(Subject)。用来扮演角色的OIDC令牌中的sub字段值必须满足该限制条件要求时,角色才允许被扮演。 该限定条件可以使用任何String类的条件操作类型,且您可以最多设置10个OIDC主体作为条件值。该限制条件用于进一步限制允许扮演角色的身份主体,您也可以不指定该限制条件。
否 00u294e3mzNXt4Hi**** - 单击关闭。
后续步骤
成功创建RAM角色后,该RAM角色没有任何权限,您可以为该RAM角色授权。具体操作,请参见为RAM角色授权。