阿里雲RAM (Resource Access Management)爲客戶提供身份與訪問控制管理服務。使用RAM,可以輕鬆創建並管理您的用戶(比如僱員、企業開發的應用程序),並控制用戶對雲資源的訪問權限。
對雲資源的信息安全保護與風險控制能力是企業成功上雲的關鍵。RAM支持在多種雲原生應用場景下,爲客戶提供豐富的訪問控制安全機制,賦能企業在DevOps、計算環境、應用程序、數據訪問等全棧系統統一實施“最小權限原則”,降低雲資源的***平面,有效控制企業上雲的信息安全風險。
RAM目前已經爲數十萬企業客戶提供了身份安全與訪問管理服務,它基於ABAC (Attribute based access control) 安全模型爲客戶提供對雲資源的細粒度訪問控制能力,並支持如下豐富的雲原生應用場景:
• 用戶管理與資源授權
• 跨雲賬號的資源授權
• 跨雲服務的資源授權
• 針對移動設備應用程序的臨時訪問授權
• 部署在雲上的應用程序的動態身份管理與資源授權
日前,RAM發佈了針對單點登錄SSO (single sign-on)這一新場景的支持 —— 使用企業自有賬號登錄阿里雲。
SSO場景介紹
假如您的企業有在本地部署域賬號系統(比如部署了Microsoft AD 以及 AD FS 服務),由於企業安全管理與合規要求,所有人員對任何資源(包括雲資源)進行操作時都必須經過企業域賬號系統的統一身份認證,禁止任何人員使用獨立用戶賬號和密碼直接操作雲資源。爲了滿足安全與合規要求,您需要雲服務商能提供這種安全能力。
阿里雲RAM支持企業級 IdPs (identity providers) 廣泛使用的SAML 2.0 (Security Assertion Markup Language 2.0) 身份聯合標準。通過在雲賬號下開啓RAM用戶聯合登錄,您就可以使用企業內部賬號登錄到阿里雲。
SAML 聯合登錄的基本思路
阿里雲與外部企業身份系統的集成場景中,阿里雲是服務提供商(SP),而企業自有的身份服務則是身份提供商(IdP)。圖1描述了在這一解決方案中,企業員工通過企業自有賬號系統登錄到阿里雲控制檯的基本流程。
(圖1:使用企業自有賬號登錄阿里雲控制檯的基本流程)
當管理員在完成 SAML 聯合登錄的配置後,企業員工可以通過如圖所示的方法登錄到阿里雲控制檯:
1、企業員工使用瀏覽器登錄阿里雲,阿里雲將 SAML 認證請求返回給瀏覽器;
2、瀏覽器向企業 IdP 轉發 SAML 認證請求;
3、企業 IdP 提示用戶登錄,並且在用戶登錄成功後生成 SAML 響應返回給瀏覽器;
4、瀏覽器將 SAML 響應轉發給阿里雲;
5、阿里雲通過 SAML 互信配置,驗證 SAML 響應的數字簽名以驗證 SAML 斷言的真僞,並通過 SAML 斷言的用戶名稱,匹配到對應雲賬號中的 RAM 用戶身份;
6、登錄服務完成認證,向瀏覽器返回登錄 session 以及阿里雲控制檯的 URL;
7、瀏覽器重定向到阿里雲控制檯。
說明:在第 1 步中,企業員工從阿里雲發起登錄並不是必須的。企業員工也可以在企業自有 IdP 的登錄頁直接點擊登錄到阿里雲的鏈接,向企業 IdP 發出登錄到阿里雲的 SAML 認證請求。
關於SAML聯合登錄的工作原理與配置方法,請詳細參考RAM在線文檔 - SSO聯合登錄。
單個雲賬號的SSO管理
假設您的企業只有一個雲賬號(旗下有虛擬機、網絡、數據庫或存儲等資源,並管理RAM用戶及權限),那麼建議的SSO方案模型如圖2所示。
(圖2: 雲上企業單賬號管理與SSO模型)
思路:將該賬號當做SP與企業本地IdP直接進行身份聯合,並通過RAM來控制檯用戶對雲資源的訪問權限。
多個雲賬號的SSO管理
假設您的企業已經有兩個雲賬號(記爲Workload Account,即雲賬號下有虛擬機、網絡、數據庫或存儲等資源),那麼建議的SSO訪問模型如圖3所示。
(圖3: 雲上企業多賬號管理與SSO模型)
思路:先創建一個獨立雲賬號(記爲Identity Account,即雲賬號下只創建 RAM 用戶),將該賬號當做SP與企業本地IdP進行身份聯合。然後利用阿里雲 RAM 提供的跨賬號RAM角色的授權訪問能力進行跨賬號訪問其他雲賬號資源。