文档章节

RAM SSO功能重磅发布 —— 满足客户使用企业本地账号登录阿里云

阿里云云栖社区
 阿里云云栖社区
发布于 2018/12/10 17:45
字数 1468
阅读 10
收藏 0

阿里云RAM (Resource Access Management)为客户提供身份与访问控制管理服务。使用RAM,可以轻松创建并管理您的用户(比如雇员、企业开发的应用程序),并控制用户对云资源的访问权限。

对云资源的信息安全保护与风险控制能力是企业成功上云的关键。RAM支持在多种云原生应用场景下,为客户提供丰富的访问控制安全机制,赋能企业在DevOps、计算环境、应用程序、数据访问等全栈系统统一实施“最小权限原则”,降低云资源的攻击平面,有效控制企业上云的信息安全风险。

RAM目前已经为数十万企业客户提供了身份安全与访问管理服务,它基于ABAC (Attribute based access control) 安全模型为客户提供对云资源的细粒度访问控制能力,并支持如下丰富的云原生应用场景:
• 用户管理与资源授权
• 跨云账号的资源授权
• 跨云服务的资源授权
• 针对移动设备应用程序的临时访问授权
• 部署在云上的应用程序的动态身份管理与资源授权

日前,RAM发布了针对单点登录SSO (single sign-on)这一新场景的支持 —— 使用企业自有账号登录阿里云

SSO场景介绍
假如您的企业有在本地部署域账号系统(比如部署了Microsoft AD 以及 AD FS 服务),由于企业安全管理与合规要求,所有人员对任何资源(包括云资源)进行操作时都必须经过企业域账号系统的统一身份认证,禁止任何人员使用独立用户账号和密码直接操作云资源。为了满足安全与合规要求,您需要云服务商能提供这种安全能力。

阿里云RAM支持企业级 IdPs (identity providers) 广泛使用的SAML 2.0 (Security Assertion Markup Language 2.0) 身份联合标准。通过在云账号下开启RAM用户联合登录,您就可以使用企业内部账号登录到阿里云。

SAML 联合登录的基本思路
阿里云与外部企业身份系统的集成场景中,阿里云是服务提供商(SP),而企业自有的身份服务则是身份提供商(IdP)。图1描述了在这一解决方案中,企业员工通过企业自有账号系统登录到阿里云控制台的基本流程。

image
(图1:使用企业自有账号登录阿里云控制台的基本流程)

当管理员在完成 SAML 联合登录的配置后,企业员工可以通过如图所示的方法登录到阿里云控制台:
1、企业员工使用浏览器登录阿里云,阿里云将 SAML 认证请求返回给浏览器;
2、浏览器向企业 IdP 转发 SAML 认证请求;
3、企业 IdP 提示用户登录,并且在用户登录成功后生成 SAML 响应返回给浏览器;
4、浏览器将 SAML 响应转发给阿里云;
5、阿里云通过 SAML 互信配置,验证 SAML 响应的数字签名以验证 SAML 断言的真伪,并通过 SAML 断言的用户名称,匹配到对应云账号中的 RAM 用户身份;
6、登录服务完成认证,向浏览器返回登录 session 以及阿里云控制台的 URL;
7、浏览器重定向到阿里云控制台。

说明:在第 1 步中,企业员工从阿里云发起登录并不是必须的。企业员工也可以在企业自有 IdP 的登录页直接点击登录到阿里云的链接,向企业 IdP 发出登录到阿里云的 SAML 认证请求。

关于SAML联合登录的工作原理与配置方法,请详细参考RAM在线文档 - SSO联合登录。

单个云账号的SSO管理
假设您的企业只有一个云账号(旗下有虚拟机、网络、数据库或存储等资源,并管理RAM用户及权限),那么建议的SSO方案模型如图2所示。

image
(图2: 云上企业单账号管理与SSO模型)

思路:将该账号当做SP与企业本地IdP直接进行身份联合,并通过RAM来控制台用户对云资源的访问权限。

多个云账号的SSO管理
假设您的企业已经有两个云账号(记为Workload Account,即云账号下有虚拟机、网络、数据库或存储等资源),那么建议的SSO访问模型如图3所示。

image
(图3: 云上企业多账号管理与SSO模型)

思路:先创建一个独立云账号(记为Identity Account,即云账号下只创建 RAM 用户),将该账号当做SP与企业本地IdP进行身份联合。然后利用阿里云 RAM 提供的跨账号RAM角色的授权访问能力进行跨账号访问其他云账号资源。

更多信息请参考RAM在线文档

阿里云RAM访问控制新版发布会
https://yq.aliyun.com/live/641
了解产品,欢迎点击
https://promotion.aliyun.com/ntms/act/ramnew.html

 

 

作者:云攻略小攻
原文链接
本文为云栖社区原创内容,未经允许不得转载。

© 著作权归作者所有

共有 人打赏支持
阿里云云栖社区
粉丝 84
博文 868
码字总数 1887969
作品 0
朝阳
私信 提问
企业上云,你必须了解的阿里云资源管理模型

摘要:越来越多的企业客户开始迁云,然而客户上云后所反馈最多的一类问题就是云资源的管理问题。究其原因,我们发现本质问题是企业上云的云账号规划问题。于是产出本文,首先介绍阿里云账号的...

seccloud
2017/11/24
0
0
合规与安全:阿里云与企业身份系统的集成

在阿里云的产品体系中,提供了免费的访问控制(RAM:Resource Access Management)服务来满足企业的合规与安全需求。正如本博客的所有文章都提到的一样,我们希望和鼓励广大阿里云客户充分使...

俊朴
2018/01/05
0
0
安全管理最佳实践系列:账号管理

在企业上云的所有安全威胁之中,最严重的威胁莫过于账号密码或AK (Access Key)泄露。一旦泄露密码或AK,最坏情况可能导致你的企业破产,就像CodeSpaces因密码泄露而被勒索者删除云上所有数据...

seccloud
2018/01/06
0
0
用好云平台,做好安全监控与审计

本文将重点阐述:运营在阿里云上的中小企业,应如何充分利用平台资源,做好安全监控和审计。 如同今年5月我在 VSRC 会议上所说:云计算和企业上云是大势所趋,今天人们讨论的不再是“什么是云...

傅奎
2018/07/17
0
0
阿里云堡垒机V3版重磅发布,和运维失误say no!

摘要: 对于外部攻击尚有产品工具可寻,那么对于类似的内部威胁防范该如何进行呢?近日,阿里云运维管理与审计产品重磅发布堡垒机V3版本,这是一款能够帮助用户拥有全方位运维风险控制与事件...

阿里云云栖社区
2018/11/07
0
0

没有更多内容

加载失败,请刷新页面

加载更多

嵌入式应用选择合适的微控制器

准备所需硬件接口列表 使用微控制器的基本硬件框图,准备一份微控制器需要支持的所有外设接口的列表。微控制器中有两种常见的接口类型需要列出。第一种是通信接口,这些是外围设备,如USB,S...

linuxCool
16分钟前
2
0
Group by使用

概述 GROUP BY我们可以先从字面上来理解,GROUP表示分组,BY后面写字段名,就表示根据哪个字段进行分组,如果有用Excel比较多的话,GROUP BY比较类似Excel里面的透视表。 GROUP BY必须得配合...

小橙子的曼曼
27分钟前
3
0
机械臂写中文

Make Me a Hanzi https://www.skishore.me/makemeahanzi/ 使用uArm Swift Pro机械臂写中文-毛笔字 https://github.com/makelove/Robot_Arm_Write_Chinese...

itfanr
38分钟前
4
0
OSChina 周三乱弹 —— 孤独到都和病毒发生了感情了

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @-冰冰棒- :#今日歌曲推荐# 逃跑计划《一万次悲伤 (Live)》 《一万次悲伤 (Live)》- 逃跑计划 手机党少年们想听歌,请使劲儿戳(这里) 现在...

小小编辑
今天
1K
14
test

//// main.c// Test//// Created by 吕颖 on 2019/1/16.// Copyright © 2019年 carmen. All rights reserved.//#include <stdio.h>#include <stdlib.h>#include <t......

carmen-ly
今天
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部