开发者社区> 俊朴> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

合规与安全:阿里云与企业身份系统的集成

简介: 在阿里云的产品体系中,提供了免费的访问控制(RAM:Resource Access Management)服务来满足企业的合规与安全需求。正如本博客的所有文章都提到的一样,我们希望和鼓励广大阿里云客户充分使用访问控制服务提供的功能,完善企业云上IT设施的安全管理。
+关注继续查看

【更新:随着RAM 2.0的上线,阿里云官网提供了对SAML Federation的官方技术文档,读者可以参考:https://help.aliyun.com/document_detail/93684.html ,同时推荐用户使用RAM控制台进行配置,原企业控制台(公测)将逐步下线】

在阿里云的产品体系中,提供了免费的访问控制(RAM:Resource Access Management)服务来满足企业的合规与安全需求。正如本博客的所有文章都提到的一样,我们希望和鼓励广大阿里云客户充分使用访问控制服务提供的功能,完善企业云上IT设施的安全管理。

在本文中,我们将介绍如何通过阿里云RAM服务的身份管理能力,集成企业自己的身份系统,从而实现对员工身份在云上和云下的统一管理。

解决方案要点

阿里云采用了SAML这一行业标准来实现身份系统的互通。关于SAML协议,本文在附录中对其基本术语进行了简要介绍,帮助理解身份联盟中的基本角色与功能。

在阿里云跟企业身份系统的集成场景中,阿里云是服务提供商(SP),而企业自有的身份服务则是身份提供商(IdP)。下图描述了在这一架构下,企业员工通过企业自有身份服务登陆到阿里云控制台的流程

SSOFlow

在阿里云配置企业自有IdP之后,企业员工登陆阿里云控制台的流程如下,有两种方式

方式一 (SP发起的单点登录):

  1. 企业员工在浏览器里登陆阿里云,阿里云将SAML认证请求返回给浏览器
  2. 浏览器向企业IdP转发SAML认证请求
  3. 企业IdP提示用户登录(或者利用用户在IdP中的登陆session),并且在认证用户后生成SAML响应返回给浏览器
  4. 浏览器将SAML响应转发给阿里云
  5. 阿里云通过互信配置,确认响应中断言的完整性,并通过断言中的用户属性,匹配到对应的云目录中的子用户(RAM子用户)
  6. 登陆服务完成认证,向浏览器返回登陆session以及阿里云控制台的URL
  7. 浏览器重定向到阿里云控制台

方式二(IdP发起的单点登录):

这一方式和SP发起的单点登录的区别只在于第一步和第二步,在这一方式中

  1. 企业员工在企业IdP的门户页直接点击登陆到阿里云的链接,链接向企业IdP发出登陆到阿里云的SAML认证请求

接下来流程则对应SP发起单点登录流程中的第3步到第7步。

配置步骤

第一步:在阿里云目录中配置可信外部SAML IdP

为了配置云账号下的子账号采用外部SAML IdP登陆,需要提供外部SAML IdP的SAML元数据。常见的SAML IdP都提供了特定的地址下载SAML元数据。元数据包含了IdP的地址,用于验证签名的公钥以及断言格式等信息。

在准备好SAML元数据XML文件之后,按照下面的步骤将元数据文件配置到阿里云目录。

  • 登陆阿里云主账号,进入企业控制台的人员管理模块

entrypoint

  • 进入人员目录>目录设置>SSO设置,点击编辑SSO设置

directoryconfig

  • 编辑SSO设置对话框中,上传外部SAML IdP元数据文件,并打开SSO功能。

uploadfedmeta

第二步:在外部IdP中配置阿里云为可信SAML SP

在外部IdP中配置阿里云为可信SAML SP主要包括以下任务

创建一个SAML SP,并提供阿里云的配置信息。

  1. 从阿里云获取您的云账号的 SAML 服务提供方元数据 URL。

    1. 登录 RAM 控制台。
    2. 单击人员管理 > 设置 > 高级设置,在SSO 登录设置下可以查看当前云账号的SAML 服务提供方元数据 URL。
  2. 在外部 IdP 中创建一个 SAML SP,并配置阿里云的 SAML 服务提供方元数据 URL。

定制IdP向阿里云颁发的断言所包含的用户属性

IdP和SP需要对SAML断言的语义达成一致,从而使SAML断言的生产者和消费者能够一致理解对用户身份的表达。阿里云通过User Principal Name (UPN)来定位用户,因此要求外部IdP生成的SAML回应里包含用户的UPN。

阿里云解析SAML断言中的NameID节点,在阿里云目录中匹配用户的UPN从而实现SSO用户的认证。

因此在外部IdP里创建的阿里云SP中,需要将对应于阿里云子用户UPN的字段映射为SAML断言中的NameID。

第三步:用户配置(User Provisioning)

用户配置可以通过以下几种方式来实现,分别适用于不同的场景

  • 在阿里云目录中手动创建对应于企业目录用户的子用户
  • 通过目录同步工具从企业目录中读取用户信息,并通过阿里云Open API向阿里云目录自动同步子用户信息

接下来的文章会以Microsoft AD为例,对在AD中配置阿里云为SAML SP,从而实现AD用户登陆到阿里云进行Walkthrough。

附录

为了理解方便,简要介绍几个术语

  • IdP: Identity Provider, 身份提供商,是指提供身份管理的服务。常见的企业自有IdP有AD FS,Shibboleth等,Cloud IdP有Azure AD,Okta,OneLogin等。
  • SP: Service Provider,服务提供商,是指利用IdP的身份管理功能,为用户提供具体服务的应用。SP会消费IdP提供的用户信息。在一些非SAML协议的身份系统(比如OIDC)里,也把Service Provider称作Relying Party,也就是IdP的依赖方。
  • SAML: Security Assertion Markup Language,是一个实现企业级用户身份认证的标准协议。是SP和IdP之间实现沟通的技术实现方式之一。是目前企业身份联盟的的事实标准(SAML 2.0)。
  • SAML Assertion: 简称Assertion,SAML断言,是SAML协议中用来描述认证请求(Request)和认证响应(Response)的核心元素。例如用户的具体属性就包含在认证响应的断言里面。
  • Trust: 信赖,是指建立在SP和IdP之间的互信机制,通常由公私钥来实现。SP通过可信的方式获取IdP的的身份联盟元数据,元数据中包括了IdP用来给SAML Assertion签名的私钥的对应公钥,SP则可以使用公钥来验证Assertion的完整性(Integrity)。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云企业邮箱怎么样?有没有免费版的?如何申请?
阿里云企业邮箱怎么样?有没有免费版的?如何申请?阿里云企业邮箱有着20年运营经验,用户认可度还是很高的,阿里云企业邮箱有收费版也有免费版,免费版配置50邮箱帐号、5GB邮箱空间和2GB个人网盘,免费时长最长可选5年,小编来详细说下阿里云企业邮箱免费版申请页面、企业邮箱配置及申请攻略。
1561 0
企业中直播系统的融入,让办公处理更加便利
如今的互联网发展非常快,人们的起居生活出行方式与互联网都息息相关,其中也囊括了办公环节。企业需要一个多样化沟通的需求,而近年来盛行的直播系统就恰好可以满足企业这样的需求,可有效地提高办公间的沟通和办公效率。
115 0
技术解读|完整揭秘通信领域顶会SIGCOMM 20’论文 阿里云网络洛神VTrace系统
近日,SIGCOMM 2020公布了今年的入选论文,阿里云网络产品的” VTrace: Automatic Diagnostic System for Persistent Packet Loss in Cloud-Scale Overlay Network”是国内历年来唯一一篇云网络方向的入选论文,今年SIGCOMM总计收到了250篇投稿,成功入选的仅54篇,阿里云网络产品洛神平台的技术实力得到了网络业界顶级会议的认可。 为了方便大家更通俗地理解这篇论文,本文将从技术层面解读云网络面临的问题,以及介绍VTrace系统的整体技术架构。
289 0
阿里云邮箱企业版怎么办理
。阿里云企业版邮箱申请,阿里云邮箱企业版开通,阿里云企业邮箱免费试用
3577 0
阿里云企业邮箱在哪里续费
企业阿里云邮箱怎么开通,阿里邮箱企业版价格,阿里云企业邮箱免费试用
4458 0
Android系统的安全设计与架构
Android系统的安全设计与架构 一、安全策略 1、Android 的总体架构由5个主要层次上的组件构成,这5层是:Android应用层、 Android框架层、Dalvik虚拟机层、用户空间原生代码层和Linux内核层。 2、安全边界,有时也会称为信任边界,是系统中分隔不同信任级别的特殊区域。 一个最直接的例子就是内核空间与用户空间之间的边界。内核空间中的
1907 0
+关注
俊朴
阿里云安全团队研发主管
7
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载