RAM SSO功能重磅釋出 —— 滿足客戶使用企業本地賬號登入阿里雲
阿里雲RAM (Resource Access Management)為客戶提供身份與訪問控制管理服務。使用RAM,可以輕鬆建立並管理您的使用者(比如僱員、企業開發的應用程式),並控制使用者對雲資源的訪問許可權。
對雲資源的資訊保安保護與風險控制能力是企業成功上雲的關鍵。RAM支援在多種雲原生應用場景下,為客戶提供豐富的訪問控制安全機制,賦能企業在DevOps、計算環境、應用程式、資料訪問等全棧系統統一實施“最小許可權原則”,降低雲資源的攻擊平面,有效控制企業上雲的資訊保安風險。
RAM目前已經為數十萬企業客戶提供了身份安全與訪問管理服務,它基於ABAC (Attribute based access control)
• 使用者管理與資源授權
• 跨雲賬號的資源授權
• 跨雲服務的資源授權
• 針對移動裝置應用程式的臨時訪問授權
• 部署在雲上的應用程式的動態身份管理與資源授權
日前,RAM釋出了針對單點登入SSO (single sign-on)這一新場景的支援 —— 使用企業自有賬號登入阿里雲。
SSO場景介紹
假如您的企業有在本地部署域賬號系統(比如部署了Microsoft AD 以及 AD FS 服務),由於企業安全管理與合規要求,所有人員對任何資源(包括雲資源)進行操作時都必須經過企業域賬號系統的統一身份認證,禁止任何人員使用獨立使用者賬號和密碼直接操作雲資源。為了滿足安全與合規要求,您需要雲服務商能提供這種安全能力。
阿里雲RAM支援企業級 IdPs (identity providers) 廣泛使用的SAML 2.0 (Security Assertion Markup Language 2.0) 身份聯合標準。通過在雲賬號下開啟RAM使用者聯合登入,您就可以使用企業內部賬號登入到阿里雲。
SAML 聯合登入的基本思路
阿里雲與外部企業身份系統的整合場景中,阿里雲是服務提供商(SP),而企業自有的身份服務則是身份提供商(IdP)。圖1描述了在這一解決方案中,企業員工通過企業自有賬號系統登入到阿里雲控制檯的基本流程。
(圖1:使用企業自有賬號登入阿里雲控制檯的基本流程)
當管理員在完成 SAML 聯合登入的配置後,企業員工可以通過如圖所示的方法登入到阿里雲控制檯:
1、企業員工使用瀏覽器登入阿里雲,阿里雲將 SAML 認證請求返回給瀏覽器;
2、瀏覽器向企業 IdP 轉發 SAML 認證請求;
3、企業 IdP 提示使用者登入,並且在使用者登入成功後生成 SAML 響應返回給瀏覽器;
4、瀏覽器將 SAML 響應轉發給阿里雲;
5、阿里雲通過 SAML 互信配置,驗證 SAML 響應的數字簽名以驗證 SAML 斷言的真偽,並通過 SAML 斷言的使用者名稱稱,匹配到對應雲賬號中的 RAM 使用者身份;
6、登入服務完成認證,向瀏覽器返回登入 session 以及阿里雲控制檯的 URL;
7、瀏覽器重定向到阿里雲控制檯。
說明:在第 1 步中,企業員工從阿里雲發起登入並不是必須的。企業員工也可以在企業自有 IdP 的登入頁直接點選登入到阿里雲的連結,向企業 IdP 發出登入到阿里雲的 SAML 認證請求。
關於SAML聯合登入的工作原理與配置方法,請詳細參考RAM線上文件 - SSO聯合登入。
單個雲賬號的SSO管理
假設您的企業只有一個雲賬號(旗下有虛擬機器、網路、資料庫或儲存等資源,並管理RAM使用者及許可權),那麼建議的SSO方案模型如圖2所示。
(圖2: 雲上企業單賬號管理與SSO模型)
思路:將該賬號當做SP與企業本地IdP直接進行身份聯合,並通過RAM來控制檯使用者對雲資源的訪問許可權。
多個雲賬號的SSO管理
假設您的企業已經有兩個雲賬號(記為Workload Account,即雲賬號下有虛擬機器、網路、資料庫或儲存等資源),那麼建議的SSO訪問模型如圖3所示。
(圖3: 雲上企業多賬號管理與SSO模型)
思路:先建立一個獨立雲賬號(記為Identity Account,即雲賬號下只建立 RAM 使用者),將該賬號當做SP與企業本地IdP進行身份聯合。然後利用阿里雲 RAM 提供的跨賬號RAM角色的授權訪問能力進行跨賬號訪問其他雲賬號資源。
更多資訊請參考RAM線上文件。
阿里雲RAM訪問控制新版釋出會
https://yq.aliyun.com/live/641
瞭解產品,歡迎點選
https://promotion.aliyun.com/ntms/act/ramnew.html