RAM SSO功能重磅发布 —— 知足客户使用企业本地帐号登陆阿里云

阿里云RAM (Resource Access Management)为客户提供身份与访问控制管理服务。使用RAM，能够轻松建立并管理您的用户（好比雇员、企业开发的应用程序），并控制用户对云资源的访问权限。

对云资源的信息安全保护与风险控制能力是企业成功上云的关键。RAM支持在多种云原生应用场景下，为客户提供丰富的访问控制安全机制，赋能企业在DevOps、计算环境、应用程序、数据访问等全栈系通通一实施“最小权限原则”，下降云资源的攻击平面，有效控制企业上云的信息安全风险。

RAM目前已经为数十万企业客户提供了身份安全与访问管理服务，它基于ABAC (Attribute based access control) 安全模型为客户提供对云资源的细粒度访问控制能力，并支持以下丰富的云原生应用场景：
• 用户管理与资源受权
• 跨云帐号的资源受权
• 跨云服务的资源受权
• 针对移动设备应用程序的临时访问受权
• 部署在云上的应用程序的动态身份管理与资源受权

日前，RAM发布了针对单点登陆SSO (single sign-on)这一新场景的支持 —— 使用企业自有帐号登陆阿里云。

SSO场景介绍
假如您的企业有在本地部署域帐号系统（好比部署了Microsoft AD 以及 AD FS 服务），因为企业安全管理与合规要求，全部人员对任何资源（包括云资源）进行操做时都必须通过企业域帐号系统的统一身份认证，禁止任何人员使用独立用户帐号和密码直接操做云资源。为了知足安全与合规要求，您须要云服务商能提供这种安全能力。

阿里云RAM支持企业级 IdPs (identity providers) 普遍使用的SAML 2.0 (Security Assertion Markup Language 2.0) 身份联合标准。经过在云帐号下开启RAM用户联合登陆，您就可使用企业内部帐号登陆到阿里云。

SAML 联合登陆的基本思路
阿里云与外部企业身份系统的集成场景中，阿里云是服务提供商（SP），而企业自有的身份服务则是身份提供商（IdP）。图1描述了在这一解决方案中，企业员工经过企业自有帐号系统登陆到阿里云控制台的基本流程。

（图1：使用企业自有帐号登陆阿里云控制台的基本流程）

当管理员在完成 SAML 联合登陆的配置后，企业员工能够经过如图所示的方法登陆到阿里云控制台：
一、企业员工使用浏览器登陆阿里云，阿里云将 SAML 认证请求返回给浏览器；
二、浏览器向企业 IdP 转发 SAML 认证请求；
三、企业 IdP 提示用户登陆，而且在用户登陆成功后生成 SAML 响应返回给浏览器；
四、浏览器将 SAML 响应转发给阿里云；
五、阿里云经过 SAML 互信配置，验证 SAML 响应的数字签名以验证 SAML 断言的真伪，并经过 SAML 断言的用户名称，匹配到对应云帐号中的 RAM 用户身份；
六、登陆服务完成认证，向浏览器返回登陆 session 以及阿里云控制台的 URL；
七、浏览器重定向到阿里云控制台。

说明：在第 1 步中，企业员工从阿里云发起登陆并非必须的。企业员工也能够在企业自有 IdP 的登陆页直接点击登陆到阿里云的连接，向企业 IdP 发出登陆到阿里云的 SAML 认证请求。

关于SAML联合登陆的工做原理与配置方法，请详细参考RAM在线文档 - SSO联合登陆。

单个云帐号的SSO管理
假设您的企业只有一个云帐号（旗下有虚拟机、网络、数据库或存储等资源，并管理RAM用户及权限），那么建议的SSO方案模型如图2所示。

（图2: 云上企业单帐号管理与SSO模型）

思路：将该帐号当作SP与企业本地IdP直接进行身份联合，并经过RAM来控制台用户对云资源的访问权限。

多个云帐号的SSO管理
假设您的企业已经有两个云帐号（记为Workload Account，即云帐号下有虚拟机、网络、数据库或存储等资源），那么建议的SSO访问模型如图3所示。

（图3: 云上企业多帐号管理与SSO模型）

思路：先建立一个独立云帐号（记为Identity Account，即云帐号下只建立 RAM 用户），将该帐号当作SP与企业本地IdP进行身份联合。而后利用阿里云 RAM 提供的跨帐号RAM角色的受权访问能力进行跨帐号访问其余云帐号资源。

更多信息请参考RAM在线文档。

阿里云RAM访问控制新版发布会
https://yq.aliyun.com/live/641
了解产品，欢迎点击
https://promotion.aliyun.com/ntms/act/ramnew.html

原文连接