合规与安全:阿里云与企业身份系统的集成

简介: 在阿里云的产品体系中,提供了免费的访问控制(RAM:Resource Access Management)服务来满足企业的合规与安全需求。正如本博客的所有文章都提到的一样,我们希望和鼓励广大阿里云客户充分使用访问控制服务提供的功能,完善企业云上IT设施的安全管理。

【更新:随着RAM 2.0的上线,阿里云官网提供了对SAML Federation的官方技术文档,读者可以参考:https://help.aliyun.com/document_detail/93684.html ,同时推荐用户使用RAM控制台进行配置,原企业控制台(公测)将逐步下线】

在阿里云的产品体系中,提供了免费的访问控制(RAM:Resource Access Management)服务来满足企业的合规与安全需求。正如本博客的所有文章都提到的一样,我们希望和鼓励广大阿里云客户充分使用访问控制服务提供的功能,完善企业云上IT设施的安全管理。

在本文中,我们将介绍如何通过阿里云RAM服务的身份管理能力,集成企业自己的身份系统,从而实现对员工身份在云上和云下的统一管理。

解决方案要点

阿里云采用了SAML这一行业标准来实现身份系统的互通。关于SAML协议,本文在附录中对其基本术语进行了简要介绍,帮助理解身份联盟中的基本角色与功能。

在阿里云跟企业身份系统的集成场景中,阿里云是服务提供商(SP),而企业自有的身份服务则是身份提供商(IdP)。下图描述了在这一架构下,企业员工通过企业自有身份服务登陆到阿里云控制台的流程

SSOFlow

在阿里云配置企业自有IdP之后,企业员工登陆阿里云控制台的流程如下,有两种方式

方式一 (SP发起的单点登录):

  1. 企业员工在浏览器里登陆阿里云,阿里云将SAML认证请求返回给浏览器
  2. 浏览器向企业IdP转发SAML认证请求
  3. 企业IdP提示用户登录(或者利用用户在IdP中的登陆session),并且在认证用户后生成SAML响应返回给浏览器
  4. 浏览器将SAML响应转发给阿里云
  5. 阿里云通过互信配置,确认响应中断言的完整性,并通过断言中的用户属性,匹配到对应的云目录中的子用户(RAM子用户)
  6. 登陆服务完成认证,向浏览器返回登陆session以及阿里云控制台的URL
  7. 浏览器重定向到阿里云控制台

方式二(IdP发起的单点登录):

这一方式和SP发起的单点登录的区别只在于第一步和第二步,在这一方式中

  1. 企业员工在企业IdP的门户页直接点击登陆到阿里云的链接,链接向企业IdP发出登陆到阿里云的SAML认证请求

接下来流程则对应SP发起单点登录流程中的第3步到第7步。

配置步骤

第一步:在阿里云目录中配置可信外部SAML IdP

为了配置云账号下的子账号采用外部SAML IdP登陆,需要提供外部SAML IdP的SAML元数据。常见的SAML IdP都提供了特定的地址下载SAML元数据。元数据包含了IdP的地址,用于验证签名的公钥以及断言格式等信息。

在准备好SAML元数据XML文件之后,按照下面的步骤将元数据文件配置到阿里云目录。

  • 登陆阿里云主账号,进入企业控制台的人员管理模块

entrypoint

  • 进入人员目录>目录设置>SSO设置,点击编辑SSO设置

directoryconfig

  • 编辑SSO设置对话框中,上传外部SAML IdP元数据文件,并打开SSO功能。

uploadfedmeta

第二步:在外部IdP中配置阿里云为可信SAML SP

在外部IdP中配置阿里云为可信SAML SP主要包括以下任务

创建一个SAML SP,并提供阿里云的配置信息。

  1. 从阿里云获取您的云账号的 SAML 服务提供方元数据 URL。

    1. 登录 RAM 控制台。
    2. 单击人员管理 > 设置 > 高级设置,在SSO 登录设置下可以查看当前云账号的SAML 服务提供方元数据 URL。
  2. 在外部 IdP 中创建一个 SAML SP,并配置阿里云的 SAML 服务提供方元数据 URL。

定制IdP向阿里云颁发的断言所包含的用户属性

IdP和SP需要对SAML断言的语义达成一致,从而使SAML断言的生产者和消费者能够一致理解对用户身份的表达。阿里云通过User Principal Name (UPN)来定位用户,因此要求外部IdP生成的SAML回应里包含用户的UPN。

阿里云解析SAML断言中的NameID节点,在阿里云目录中匹配用户的UPN从而实现SSO用户的认证。

因此在外部IdP里创建的阿里云SP中,需要将对应于阿里云子用户UPN的字段映射为SAML断言中的NameID。

第三步:用户配置(User Provisioning)

用户配置可以通过以下几种方式来实现,分别适用于不同的场景

  • 在阿里云目录中手动创建对应于企业目录用户的子用户
  • 通过目录同步工具从企业目录中读取用户信息,并通过阿里云Open API向阿里云目录自动同步子用户信息

接下来的文章会以Microsoft AD为例,对在AD中配置阿里云为SAML SP,从而实现AD用户登陆到阿里云进行Walkthrough。

附录

为了理解方便,简要介绍几个术语

  • IdP: Identity Provider, 身份提供商,是指提供身份管理的服务。常见的企业自有IdP有AD FS,Shibboleth等,Cloud IdP有Azure AD,Okta,OneLogin等。
  • SP: Service Provider,服务提供商,是指利用IdP的身份管理功能,为用户提供具体服务的应用。SP会消费IdP提供的用户信息。在一些非SAML协议的身份系统(比如OIDC)里,也把Service Provider称作Relying Party,也就是IdP的依赖方。
  • SAML: Security Assertion Markup Language,是一个实现企业级用户身份认证的标准协议。是SP和IdP之间实现沟通的技术实现方式之一。是目前企业身份联盟的的事实标准(SAML 2.0)。
  • SAML Assertion: 简称Assertion,SAML断言,是SAML协议中用来描述认证请求(Request)和认证响应(Response)的核心元素。例如用户的具体属性就包含在认证响应的断言里面。
  • Trust: 信赖,是指建立在SP和IdP之间的互信机制,通常由公私钥来实现。SP通过可信的方式获取IdP的的身份联盟元数据,元数据中包括了IdP用来给SAML Assertion签名的私钥的对应公钥,SP则可以使用公钥来验证Assertion的完整性(Integrity)。
目录
相关文章
|
1月前
|
安全 Java API
【三方服务集成】最新版 | 阿里云短信服务SMS使用教程(包含支持单双参数模板的工具类,拿来即用!)
阿里云短信服务提供API/SDK和控制台调用方式,支持验证码、通知、推广等短信类型。需先注册阿里云账号并实名认证,然后在短信服务控制台申请资质、签名和模板,并创建AccessKey。最后通过Maven引入依赖,使用工具类发送短信验证码。
【三方服务集成】最新版 | 阿里云短信服务SMS使用教程(包含支持单双参数模板的工具类,拿来即用!)
|
29天前
|
存储 Prometheus 运维
在云原生环境中,阿里云ARMS与Prometheus的集成提供了强大的应用实时监控解决方案
在云原生环境中,阿里云ARMS与Prometheus的集成提供了强大的应用实时监控解决方案。该集成结合了ARMS的基础设施监控能力和Prometheus的灵活配置及社区支持,实现了全面、精准的系统状态、性能和错误监控,提升了应用的稳定性和管理效率。通过统一的数据视图和高级查询功能,帮助企业有效应对云原生挑战,促进业务的持续发展。
38 3
|
1月前
|
开发框架 JavaScript 前端开发
TypeScript 是一种静态类型的编程语言,它扩展了 JavaScript,为 Web 开发带来了强大的类型系统、组件化开发支持、与主流框架的无缝集成、大型项目管理能力和提升开发体验等多方面优势
TypeScript 是一种静态类型的编程语言,它扩展了 JavaScript,为 Web 开发带来了强大的类型系统、组件化开发支持、与主流框架的无缝集成、大型项目管理能力和提升开发体验等多方面优势。通过明确的类型定义,TypeScript 能够在编码阶段发现潜在错误,提高代码质量;支持组件的清晰定义与复用,增强代码的可维护性;与 React、Vue 等框架结合,提供更佳的开发体验;适用于大型项目,优化代码结构和性能。随着 Web 技术的发展,TypeScript 的应用前景广阔,将继续引领 Web 开发的新趋势。
38 2
|
1月前
|
XML Java 数据库连接
SpringBoot集成Flowable:打造强大的工作流管理系统
在企业级应用开发中,工作流管理是一个核心组件,它能够帮助我们定义、执行和管理业务流程。Flowable是一个开源的工作流和业务流程管理(BPM)平台,它提供了强大的工作流引擎和建模工具。结合SpringBoot,我们可以快速构建一个高效、灵活的工作流管理系统。本文将探讨如何将Flowable集成到SpringBoot应用中,并展示其强大的功能。
225 1
|
2月前
|
IDE API 开发工具
沉浸式集成阿里云 OpenAPI|Alibaba Cloud API Toolkit for VS Code
Alibaba Cloud API Toolkit for VSCode 是集成了 OpenAPI 开发者门户多项功能的 VSCode 插件,开发者可以通过这个插件方便地查找API文档、进行API调试、插入SDK代码,并配置基础环境设置。我们的目标是缩短开发者在门户和IDE之间的频繁切换,实现API信息和开发流程的无缝结合,让开发者的工作变得更加高效和紧密。
沉浸式集成阿里云 OpenAPI|Alibaba Cloud API Toolkit for VS Code
|
2月前
|
人工智能 自然语言处理 关系型数据库
阿里云云原生数据仓库 AnalyticDB PostgreSQL 版已完成和开源LLMOps平台Dify官方集成
近日,阿里云云原生数据仓库 AnalyticDB PostgreSQL 版已完成和开源LLMOps平台Dify官方集成。
|
2月前
|
SQL 数据库连接 数据库
管理系统中的Visual Studio与SQL集成技巧与方法
在现代软件开发和管理系统中,Visual Studio(VS)作为强大的集成开发环境(IDE),与SQL数据库的紧密集成是构建高效、可靠应用程序的关键
|
2月前
|
SQL 监控 数据库
管理系统VS SQL:高效集成的关键技巧与方法
在现代企业信息化建设中,管理系统(如ERP、CRM等)与SQL数据库之间的紧密集成是确保数据流动顺畅、业务逻辑高效执行的关键
|
2月前
|
Java Maven Docker
gitlab-ci 集成 k3s 部署spring boot 应用
gitlab-ci 集成 k3s 部署spring boot 应用
|
28天前
|
消息中间件 监控 Java
您是否已集成 Spring Boot 与 ActiveMQ?
您是否已集成 Spring Boot 与 ActiveMQ?
52 0

热门文章

最新文章