RAM SSO功能重磅發佈 —— 知足客戶使用企業本地帳號登陸阿里雲

阿里雲RAM (Resource Access Management)爲客戶提供身份與訪問控制管理服務。使用RAM，能夠輕鬆建立並管理您的用戶（好比僱員、企業開發的應用程序），並控制用戶對雲資源的訪問權限。

對雲資源的信息安全保護與風險控制能力是企業成功上雲的關鍵。RAM支持在多種雲原生應用場景下，爲客戶提供豐富的訪問控制安全機制，賦能企業在DevOps、計算環境、應用程序、數據訪問等全棧系通通一實施「最小權限原則」，下降雲資源的攻擊平面，有效控制企業上雲的信息安全風險。

RAM目前已經爲數十萬企業客戶提供了身份安全與訪問管理服務，它基於ABAC (Attribute based access control) 安全模型爲客戶提供對雲資源的細粒度訪問控制能力，並支持以下豐富的雲原生應用場景：
• 用戶管理與資源受權
• 跨雲帳號的資源受權
• 跨雲服務的資源受權
• 針對移動設備應用程序的臨時訪問受權
• 部署在雲上的應用程序的動態身份管理與資源受權

日前，RAM發佈了針對單點登陸SSO (single sign-on)這一新場景的支持 —— 使用企業自有帳號登陸阿里雲。

SSO場景介紹
假如您的企業有在本地部署域帳號系統（好比部署了Microsoft AD 以及 AD FS 服務），因爲企業安全管理與合規要求，全部人員對任何資源（包括雲資源）進行操做時都必須通過企業域帳號系統的統一身份認證，禁止任何人員使用獨立用戶帳號和密碼直接操做雲資源。爲了知足安全與合規要求，您須要雲服務商能提供這種安全能力。

阿里雲RAM支持企業級 IdPs (identity providers) 普遍使用的SAML 2.0 (Security Assertion Markup Language 2.0) 身份聯合標準。經過在雲帳號下開啓RAM用戶聯合登陸，您就可使用企業內部帳號登陸到阿里雲。

SAML 聯合登陸的基本思路
阿里雲與外部企業身份系統的集成場景中，阿里雲是服務提供商（SP），而企業自有的身份服務則是身份提供商（IdP）。圖1描述了在這一解決方案中，企業員工經過企業自有帳號系統登陸到阿里雲控制檯的基本流程。

（圖1：使用企業自有帳號登陸阿里雲控制檯的基本流程）

當管理員在完成 SAML 聯合登陸的配置後，企業員工能夠經過如圖所示的方法登陸到阿里雲控制檯：
一、企業員工使用瀏覽器登陸阿里雲，阿里雲將 SAML 認證請求返回給瀏覽器；
二、瀏覽器向企業 IdP 轉發 SAML 認證請求；
三、企業 IdP 提示用戶登陸，而且在用戶登陸成功後生成 SAML 響應返回給瀏覽器；
四、瀏覽器將 SAML 響應轉發給阿里雲；
五、阿里雲經過 SAML 互信配置，驗證 SAML 響應的數字簽名以驗證 SAML 斷言的真僞，並經過 SAML 斷言的用戶名稱，匹配到對應雲帳號中的 RAM 用戶身份；
六、登陸服務完成認證，向瀏覽器返回登陸 session 以及阿里雲控制檯的 URL；
七、瀏覽器重定向到阿里雲控制檯。

說明：在第 1 步中，企業員工從阿里雲發起登陸並非必須的。企業員工也能夠在企業自有 IdP 的登陸頁直接點擊登陸到阿里雲的連接，向企業 IdP 發出登陸到阿里雲的 SAML 認證請求。

關於SAML聯合登陸的工做原理與配置方法，請詳細參考RAM在線文檔 - SSO聯合登陸。

單個雲帳號的SSO管理
假設您的企業只有一個雲帳號（旗下有虛擬機、網絡、數據庫或存儲等資源，並管理RAM用戶及權限），那麼建議的SSO方案模型如圖2所示。

（圖2: 雲上企業單帳號管理與SSO模型）

思路：將該帳號當作SP與企業本地IdP直接進行身份聯合，並經過RAM來控制檯用戶對雲資源的訪問權限。

多個雲帳號的SSO管理
假設您的企業已經有兩個雲帳號（記爲Workload Account，即雲帳號下有虛擬機、網絡、數據庫或存儲等資源），那麼建議的SSO訪問模型如圖3所示。

（圖3: 雲上企業多帳號管理與SSO模型）

思路：先建立一個獨立雲帳號（記爲Identity Account，即雲帳號下只建立 RAM 用戶），將該帳號當作SP與企業本地IdP進行身份聯合。而後利用阿里雲 RAM 提供的跨帳號RAM角色的受權訪問能力進行跨帳號訪問其餘雲帳號資源。

更多信息請參考RAM在線文檔。

阿里雲RAM訪問控制新版發佈會
https://yq.aliyun.com/live/641
瞭解產品，歡迎點擊
https://promotion.aliyun.com/ntms/act/ramnew.html

原文連接