文档章节

RAM SSO功能重磅发布 —— 满足客户使用企业本地账号登录阿里云

阿里云官方博客
 阿里云官方博客
发布于 2018/12/10 16:25
字数 1442
阅读 6
收藏 0

阿里云RAM (Resource Access Management)为客户提供身份与访问控制管理服务。使用RAM,可以轻松创建并管理您的用户(比如雇员、企业开发的应用程序),并控制用户对云资源的访问权限。

对云资源的信息安全保护与风险控制能力是企业成功上云的关键。RAM支持在多种云原生应用场景下,为客户提供丰富的访问控制安全机制,赋能企业在DevOps、计算环境、应用程序、数据访问等全栈系统统一实施“最小权限原则”,降低云资源的攻击平面,有效控制企业上云的信息安全风险。

RAM目前已经为数十万企业客户提供了身份安全与访问管理服务,它基于ABAC (Attribute based access control) 安全模型为客户提供对云资源的细粒度访问控制能力,并支持如下丰富的云原生应用场景:
• 用户管理与资源授权
• 跨云账号的资源授权
• 跨云服务的资源授权
• 针对移动设备应用程序的临时访问授权
• 部署在云上的应用程序的动态身份管理与资源授权

日前,RAM发布了针对单点登录SSO (single sign-on)这一新场景的支持 —— 使用企业自有账号登录阿里云

SSO场景介绍
假如您的企业有在本地部署域账号系统(比如部署了Microsoft AD 以及 AD FS 服务),由于企业安全管理与合规要求,所有人员对任何资源(包括云资源)进行操作时都必须经过企业域账号系统的统一身份认证,禁止任何人员使用独立用户账号和密码直接操作云资源。为了满足安全与合规要求,您需要云服务商能提供这种安全能力。

阿里云RAM支持企业级 IdPs (identity providers) 广泛使用的SAML 2.0 (Security Assertion Markup Language 2.0) 身份联合标准。通过在云账号下开启RAM用户联合登录,您就可以使用企业内部账号登录到阿里云。

SAML 联合登录的基本思路
阿里云与外部企业身份系统的集成场景中,阿里云是服务提供商(SP),而企业自有的身份服务则是身份提供商(IdP)。图1描述了在这一解决方案中,企业员工通过企业自有账号系统登录到阿里云控制台的基本流程。


(图1:使用企业自有账号登录阿里云控制台的基本流程)

当管理员在完成 SAML 联合登录的配置后,企业员工可以通过如图所示的方法登录到阿里云控制台:
1、企业员工使用浏览器登录阿里云,阿里云将 SAML 认证请求返回给浏览器;
2、浏览器向企业 IdP 转发 SAML 认证请求;
3、企业 IdP 提示用户登录,并且在用户登录成功后生成 SAML 响应返回给浏览器;
4、浏览器将 SAML 响应转发给阿里云;
5、阿里云通过 SAML 互信配置,验证 SAML 响应的数字签名以验证 SAML 断言的真伪,并通过 SAML 断言的用户名称,匹配到对应云账号中的 RAM 用户身份;
6、登录服务完成认证,向浏览器返回登录 session 以及阿里云控制台的 URL;
7、浏览器重定向到阿里云控制台。

说明:在第 1 步中,企业员工从阿里云发起登录并不是必须的。企业员工也可以在企业自有 IdP 的登录页直接点击登录到阿里云的链接,向企业 IdP 发出登录到阿里云的 SAML 认证请求。

关于SAML联合登录的工作原理与配置方法,请详细参考RAM在线文档 - SSO联合登录。

单个云账号的SSO管理
假设您的企业只有一个云账号(旗下有虚拟机、网络、数据库或存储等资源,并管理RAM用户及权限),那么建议的SSO方案模型如图2所示。


(图2: 云上企业单账号管理与SSO模型)

思路:将该账号当做SP与企业本地IdP直接进行身份联合,并通过RAM来控制台用户对云资源的访问权限。

多个云账号的SSO管理
假设您的企业已经有两个云账号(记为Workload Account,即云账号下有虚拟机、网络、数据库或存储等资源),那么建议的SSO访问模型如图3所示。


(图3: 云上企业多账号管理与SSO模型)

思路:先创建一个独立云账号(记为Identity Account,即云账号下只创建 RAM 用户),将该账号当做SP与企业本地IdP进行身份联合。然后利用阿里云 RAM 提供的跨账号RAM角色的授权访问能力进行跨账号访问其他云账号资源。

更多信息请参考RAM在线文档

阿里云RAM访问控制新版发布会
https://yq.aliyun.com/live/641
了解产品,欢迎点击
https://promotion.aliyun.com/ntms/act/ramnew.html

原文链接

© 著作权归作者所有

共有 人打赏支持
阿里云官方博客
粉丝 150
博文 674
码字总数 1515939
作品 0
杭州
程序员
私信 提问
企业上云,你必须了解的阿里云资源管理模型

摘要:越来越多的企业客户开始迁云,然而客户上云后所反馈最多的一类问题就是云资源的管理问题。究其原因,我们发现本质问题是企业上云的云账号规划问题。于是产出本文,首先介绍阿里云账号的...

seccloud
2017/11/24
0
0
合规与安全:阿里云与企业身份系统的集成

在阿里云的产品体系中,提供了免费的访问控制(RAM:Resource Access Management)服务来满足企业的合规与安全需求。正如本博客的所有文章都提到的一样,我们希望和鼓励广大阿里云客户充分使...

俊朴
2018/01/05
0
0
安全管理最佳实践系列:账号管理

在企业上云的所有安全威胁之中,最严重的威胁莫过于账号密码或AK (Access Key)泄露。一旦泄露密码或AK,最坏情况可能导致你的企业破产,就像CodeSpaces因密码泄露而被勒索者删除云上所有数据...

seccloud
2018/01/06
0
0
用好云平台,做好安全监控与审计

本文将重点阐述:运营在阿里云上的中小企业,应如何充分利用平台资源,做好安全监控和审计。 如同今年5月我在 VSRC 会议上所说:云计算和企业上云是大势所趋,今天人们讨论的不再是“什么是云...

傅奎
2018/07/17
0
0
互联网企业如何构建安全可信的云上数据存储

“ 使用云服务,我的数据安全吗?” 云计算已经进入了高速发展的阶段,公共云技术和业务架构方式被越来越多的企业级用户接受,从最初的游戏、在线音视频、移动App等互联网应用,到金融、教育...

杨重
01/17
0
0

没有更多内容

加载失败,请刷新页面

加载更多

开始看《JSP&Servlet学习笔记》

1:WEB应用简介。其中1.2.1对Web容器的工作流程写得不错 2:编写Servlet。搞清楚了Java的Web目录结构,以及Web.xml的一些配置作用。特别是讲了@WebServlet标签 3:请求与响应。更细致的讲了从...

max佩恩
37分钟前
1
0
mysql分区功能详细介绍,以及实例

一,什么是数据库分区 前段时间写过一篇关于mysql分表的的文章,下面来说一下什么是数据库分区,以mysql为例。mysql数据库中的数据是以文件的形势存在磁盘上的,默认放在/mysql/data下面(可...

吴伟祥
38分钟前
2
0
SQL语句查询

1.1 排序 通过order by语句,可以将查询出的结果进行排序。放置在select语句的最后。 格式: SELECT * FROM 表名 ORDER BY 排序字段ASC|DESC; ASC 升序 (默认) DESC 降序 1.查询所有商品信息,...

stars永恒
54分钟前
2
0
IntelliJ IDEA 第一个 Scala 程序

IntelliJ 安装完成 Scala 插件后,你需要尝试使用 IntelliJ 来创建并且运行第一个程序。 通常这个程序只是简单的输出 Hello World。 创建一个新工程 在文件下面选择新建,然后选择创建工程。...

honeymose
59分钟前
2
0
csapp 习题 - 如何实现异或 exclusive-or

阅读 csapp v3 时,练习题 2.13 很有意思。练习题描述如下。 位设置是对于参数 mask 中每一个为 1 的位,那么参数 x 中相应位则被设置为 1 ;位清除是对于参数 mask 中每一个为 1 的位,那么...

ylme
昨天
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部