企业用户通常通过常规登录方式(即在阿里云控制台输入账号、密码)登录阿里云,管理、使用云资源。随着企业安全监管要求的日益严格,部分企业更愿意通过角色登录(Role Base_SSO)的方式登录阿里云。本文为您介绍使用角色SSO的方式登录MaxCompute新版控制台需要配置的角色授信策略。
背景信息
阿里云与企业进行角色SSO时,阿里云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过角色SSO,企业可以在本地IdP中管理员工信息,无需进行阿里云和企业IdP间的用户同步,企业员工将使用指定的RAM角色登录阿里云,详情请参见SAML角色SSO概览。
配置角色授信策略
-
创建角色
-
通过RAM用户来扮演RAM角色,创建角色请参见创建可信实体为阿里云账号的RAM角色。
-
通过IdP身份提供商账号来扮演RAM角色,创建角色请参见创建可信实体为身份提供商的RAM角色。
-
-
配置角色授信策略
-
使用阿里云账号登录RAM控制台。
-
在左侧导航栏,选择身份管理 > 角色。
-
在角色页面,单击目标RAM角色名称。
-
单击信任策略管理页签,然后单击修改信任策略。
-
在修改信任策略面板,修改信任策略内容,然后单击确定。信任策略具体内容如下所示。
-
通过RAM用户来扮演的角色。
如果需要通过RAM用户来扮演RAM角色,该角色的信任策略如下。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::UID:root" ] } }, { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "dataworks.aliyuncs.com" ] } } ], "Version": "1" }说明
请替换上述策略中的UID为阿里云账号的UID。
-
通过IdP身份提供商账号来扮演的角色,该角色的信任策略如下。
{ "Statement": [ { "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "saml:recipient": "https://signin.aliyun.com/saml-role/sso" } }, "Effect": "Allow", "Principal": { "Federated": [ "acs:ram::UID:saml-provider/IDP" ] } }, { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "dataworks.aliyuncs.com" ] } } ], "Version": "1" }说明
请替换上述策略中的UID为阿里云账号的UID,替换IDP为您选择的身份提供商的名称。
-
更多关于RAM角色信任策略的信息请参见修改RAM角色的信任策略。
-
内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家
阿里云企业补贴进行中: 马上申请
腾讯云限时活动1折起,即将结束: 马上收藏
同尘科技为腾讯云授权服务中心。
购买腾讯云产品享受折上折,更有现金返利:同意关联,立享优惠
转转请注明出处:https://www.yunxiaoer.com/157856.html
