一万并发量的视频网站建设,投资管理公司注册,上海网站空间续费,南海建设网站阿里云RAM (Resource Access Management)为客户提供身份与访问控制管理服务。使用RAM#xff0c;可以轻松创建并管理您的用户#xff08;比如雇员、企业开发的应用程序#xff09;#xff0c;并控制用户对云资源的访问权限。
对云资源的信息安全保护与风险控制能力是企业成…阿里云RAM (Resource Access Management)为客户提供身份与访问控制管理服务。使用RAM可以轻松创建并管理您的用户比如雇员、企业开发的应用程序并控制用户对云资源的访问权限。
对云资源的信息安全保护与风险控制能力是企业成功上云的关键。RAM支持在多种云原生应用场景下为客户提供丰富的访问控制安全机制赋能企业在DevOps、计算环境、应用程序、数据访问等全栈系统统一实施“最小权限原则”降低云资源的攻击平面有效控制企业上云的信息安全风险。
RAM目前已经为数十万企业客户提供了身份安全与访问管理服务它基于ABAC (Attribute based access control) 安全模型为客户提供对云资源的细粒度访问控制能力并支持如下丰富的云原生应用场景 • 用户管理与资源授权 • 跨云账号的资源授权 • 跨云服务的资源授权 • 针对移动设备应用程序的临时访问授权 • 部署在云上的应用程序的动态身份管理与资源授权
日前RAM发布了针对单点登录SSO (single sign-on)这一新场景的支持 —— 使用企业自有账号登录阿里云。
SSO场景介绍 假如您的企业有在本地部署域账号系统比如部署了Microsoft AD 以及 AD FS 服务由于企业安全管理与合规要求所有人员对任何资源包括云资源进行操作时都必须经过企业域账号系统的统一身份认证禁止任何人员使用独立用户账号和密码直接操作云资源。为了满足安全与合规要求您需要云服务商能提供这种安全能力。
阿里云RAM支持企业级 IdPs (identity providers) 广泛使用的SAML 2.0 (Security Assertion Markup Language 2.0) 身份联合标准。通过在云账号下开启RAM用户联合登录您就可以使用企业内部账号登录到阿里云。
SAML 联合登录的基本思路 阿里云与外部企业身份系统的集成场景中阿里云是服务提供商SP而企业自有的身份服务则是身份提供商IdP。图1描述了在这一解决方案中企业员工通过企业自有账号系统登录到阿里云控制台的基本流程。 图1使用企业自有账号登录阿里云控制台的基本流程
当管理员在完成 SAML 联合登录的配置后企业员工可以通过如图所示的方法登录到阿里云控制台 1、企业员工使用浏览器登录阿里云阿里云将 SAML 认证请求返回给浏览器 2、浏览器向企业 IdP 转发 SAML 认证请求 3、企业 IdP 提示用户登录并且在用户登录成功后生成 SAML 响应返回给浏览器 4、浏览器将 SAML 响应转发给阿里云 5、阿里云通过 SAML 互信配置验证 SAML 响应的数字签名以验证 SAML 断言的真伪并通过 SAML 断言的用户名称匹配到对应云账号中的 RAM 用户身份 6、登录服务完成认证向浏览器返回登录 session 以及阿里云控制台的 URL 7、浏览器重定向到阿里云控制台。
说明在第 1 步中企业员工从阿里云发起登录并不是必须的。企业员工也可以在企业自有 IdP 的登录页直接点击登录到阿里云的链接向企业 IdP 发出登录到阿里云的 SAML 认证请求。
关于SAML联合登录的工作原理与配置方法请详细参考RAM在线文档 - SSO联合登录。
单个云账号的SSO管理 假设您的企业只有一个云账号旗下有虚拟机、网络、数据库或存储等资源并管理RAM用户及权限那么建议的SSO方案模型如图2所示。 图2: 云上企业单账号管理与SSO模型
思路将该账号当做SP与企业本地IdP直接进行身份联合并通过RAM来控制台用户对云资源的访问权限。
多个云账号的SSO管理 假设您的企业已经有两个云账号记为Workload Account即云账号下有虚拟机、网络、数据库或存储等资源那么建议的SSO访问模型如图3所示。 图3: 云上企业多账号管理与SSO模型
思路先创建一个独立云账号记为Identity Account即云账号下只创建 RAM 用户将该账号当做SP与企业本地IdP进行身份联合。然后利用阿里云 RAM 提供的跨账号RAM角色的授权访问能力进行跨账号访问其他云账号资源。 原文链接 本文为云栖社区原创内容未经允许不得转载。
