阿里云RAM (Resource Access Management)为客户提供身份与访问控制管理服务。使用RAM,可以轻松创建并管理您的用户(比如雇员、企业开发的应用程序),并控制用户对云资源的访问权限。
对云资源的信息安全保护与风险控制能力是企业成功上云的关键。RAM支持在多种云原生应用场景下,为客户提供丰富的访问控制安全机制,赋能企业在DevOps、计算环境、应用程序、数据访问等全栈系统统一实施“最小权限原则”,降低云资源的攻击平面,有效控制企业上云的信息安全风险。
RAM目前已经为数十万企业客户提供了身份安全与访问管理服务,它基于ABAC (Attribute based access control) 安全模型为客户提供对云资源的细粒度访问控制能力,并支持如下丰富的云原生应用场景:
• 用户管理与资源授权
• 跨云账号的资源授权
• 跨云服务的资源授权
• 针对移动设备应用程序的临时访问授权
• 部署在云上的应用程序的动态身份管理与资源授权
日前,RAM发布了针对单点登录SSO (single sign-on)这一新场景的支持 —— 使用企业自有账号登录阿里云。
SSO场景介绍
假如您的企业有在本地部署域账号系统(比如部署了Microsoft AD 以及 AD FS 服务),由于企业安全管理与合规要求,所有人员对任何资源(包括云资源)进行操作时都必须经过企业域账号系统的统一身份认证,禁止任何人员使用独立用户账号和密码直接操作云资源。为了满足安全与合规要求,您需要云服务商能提供这种安全能力。
阿里云RAM支持企业级 IdPs (identity providers) 广泛使用的SAML 2.0 (Security Assertion Markup Language 2.0) 身份联合标准。通过在云账号下开启RAM用户联合登录,您就可以使用企业内部账号登录到阿里云。
SAML 联合登录的基本思路
阿里云与外部企业身份系统的集成场景中,阿里云是服务提供商(SP),而企业自有的身份服务则是身份提供商(IdP)。图1描述了在这一解决方案中,企业员工通过企业自有账号系统登录到阿里云控制台的基本流程。
(图1:使用企业自有账号登录阿里云控制台的基本流程)
当管理员在完成 SAML 联合登录的配置后,企业员工可以通过如图所示的方法登录到阿里云控制台:
1、企业员工使用浏览器登录阿里云,阿里云将 SAML 认证请求返回给浏览器;
2、浏览器向企业 IdP 转发 SAML 认证请求;
3、企业 IdP 提示用户登录,并且在用户登录成功后生成 SAML 响应返回给浏览器;
4、浏览器将 SAML 响应转发给阿里云;
5、阿里云通过 SAML 互信配置,验证 SAML 响应的数字签名以验证 SAML 断言的真伪,并通过 SAML 断言的用户名称,匹配到对应云账号中的 RAM 用户身份;
6、登录服务完成认证,向浏览器返回登录 session 以及阿里云控制台的 URL;
7、浏览器重定向到阿里云控制台。
说明:在第 1 步中,企业员工从阿里云发起登录并不是必须的。企业员工也可以在企业自有 IdP 的登录页直接点击登录到阿里云的链接,向企业 IdP 发出登录到阿里云的 SAML 认证请求。
关于SAML联合登录的工作原理与配置方法,请详细参考RAM在线文档 - SSO联合登录。
单个云账号的SSO管理
假设您的企业只有一个云账号(旗下有虚拟机、网络、数据库或存储等资源,并管理RAM用户及权限),那么建议的SSO方案模型如图2所示。
(图2: 云上企业单账号管理与SSO模型)
思路:将该账号当做SP与企业本地IdP直接进行身份联合,并通过RAM来控制台用户对云资源的访问权限。
多个云账号的SSO管理
假设您的企业已经有两个云账号(记为Workload Account,即云账号下有虚拟机、网络、数据库或存储等资源),那么建议的SSO访问模型如图3所示。
(图3: 云上企业多账号管理与SSO模型)
思路:先创建一个独立云账号(记为Identity Account,即云账号下只创建 RAM 用户),将该账号当做SP与企业本地IdP进行身份联合。然后利用阿里云 RAM 提供的跨账号RAM角色的授权访问能力进行跨账号访问其他云账号资源。
更多信息请参考RAM在线文档。
阿里云RAM访问控制新版发布会
https://yq.aliyun.com/live/641
了解产品,欢迎点击
https://promotion.aliyun.com/ntms/act/ramnew.html
阅读原文
更多技术干货 请关注阿里云云栖社区微信号 :yunqiinsight