合规与安全:阿里云与企业身份系统的集成

最新推荐文章于 2024-06-11 11:36:22 发布
最新推荐文章于 2024-06-11 11:36:22 发布
阅读量664 收藏 1
点赞数

在阿里云的产品体系中,提供了免费的访问控制(RAM:Resource Access Management)服务来满足企业的合规与安全需求。正如本博客的所有文章都提到的一样,我们希望和鼓励广大阿里云客户充分使用访问控制服务提供的功能,完善企业云上IT设施的安全管理。

在本文中,我们将介绍如何通过阿里云RAM服务的身份管理能力,集成企业自己的身份系统,从而实现对员工身份在云上和云下的统一管理。

解决方案要点

阿里云采用了SAML这一行业标准来实现身份系统的互通。关于SAML协议,本文在附录中对其基本术语进行了简要介绍,帮助理解身份联盟中的基本角色与功能。

在阿里云跟企业身份系统的集成场景中,阿里云是服务提供商(SP),而企业自有的身份服务则是身份提供商(IdP)。下图描述了在这一架构下,企业员工通过企业自有身份服务登陆到阿里云控制台的流程

我有几张阿里云幸运券分享给你,用券购买或者升级阿里云相应产品会有特惠惊喜哦!把想要买的产品的幸运券都领走吧!快下手,马上就要抢光了。

SSOFlow

在阿里云配置企业自有IdP之后,企业员工登陆阿里云控制台的流程如下,有两种方式

方式一 (SP发起的单点登录):

  1. 企业员工在浏览器里登陆阿里云,阿里云将SAML认证请求返回给浏览器
  2. 浏览器向企业IdP转发SAML认证请求
  3. 企业IdP提示用户登录(或者利用用户在IdP中的登陆session),并且在认证用户后生成SAML响应返回给浏览器
  4. 浏览器将SAML响应转发给阿里云
  5. 阿里云通过互信配置,确认响应中断言的完整性,并通过断言中的用户属性,匹配到对应的云目录中的子用户(RAM子用户)
  6. 登陆服务完成认证,向浏览器返回登陆session以及阿里云控制台的URL
  7. 浏览器重定向到阿里云控制台

方式二(IdP发起的单点登录):

这一方式和SP发起的单点登录的区别只在于第一步和第二步,在这一方式中

  1. 企业员工在企业IdP的门户页直接点击登陆到阿里云的链接,链接向企业IdP发出登陆到阿里云的SAML认证请求

接下来流程则对应SP发起单点登录流程中的第3步到第7步。

原文链接

煊琰
关注
基于阿里云的一般性系统安全措施介绍
shiter编写程序的艺术
09-06 1277
文章大纲1. 基于阿里云的典型生产环境安全架构简介1.1 网络安全1.2 主机安全1.3数据库安全1.4应用安全1.5日志2. 源代码管理2.1源代码安全性保障2.2源代码的授权访问2.3源代码的复制和传播2.4源代码平台日常管理3. 堡垒机访问控制3.1概述3.2权限控制3.3堡垒机的授权访问4. RDS数据库访问控制4.1概述4.2RDS数据账号权限控制4.3白名单5. 数据备份\恢复5.1备份系统日常管理5.2日常巡检管理6. ACM应用配置管理6.1目的6.2ACM作用6.3ACM管理维护7. 应用
企业身份识别系统 corporate Identity System
孤剑之家
03-18 4501
cis的具体组成部分 mi:理念识别 bi:行为识别 vi:视觉识别 什么是cis ? cis是corporate identity system的缩写,意思是企业形象识别系统。60年代,美国人首先提出了企业的ci设计这一概念。据说是美国ibm公司是这方面开先河者。 cis的主要含义是:将企业文化与经营理念,统一设计,利用整体表达体系(尤其是视觉表达系统),传达给企业内部与公众,使其对企业
阿里云RAM
guochen1314的博客
11-30 3085
RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。RAM用户是代表任意的通过控制台或OpenAPI操作阿里云资源的人、系统或应用程序。RAM允许您在云账号下创建并管理多个用户,每个用户都有唯一的用户名、登录密码或访问密钥。云账户与RAM用户是一种主子关系。云账户(主账号):1)阿里云资...
阿里云大数据实战记录9:MaxCompute RAM 用户与授权
明而决之
09-04 1267
本次探索过程,发现了一个问题,阿里云产品,可能每一个都会有自己的控制台,有自己的一套权限管理,配置权限前,需要先思考,这个权限是在哪一个平台上使用,然后针对性去对应的文档和对应的控制台中寻找解决方案。 就如本次,处理的内容其实是 MaxCompute 项目级别的问题,需要到项目中去寻找解决方案,一开始我配置了 RAM 用户相关权限,也在数据保护伞和 DataWorks 用户管理上面也尝试了解决方案,不过都是无用功,无法最终解决问题,只是更加清晰地了解了阿里云的权限管理逻辑。
阿里云RAM访问控制
谷哥的小弟
10-03 3724
访问控制 RAM(Resource Access Management)是阿里云为客户提供的用户身份管理与访问控制服务。使用 RAM您可以创建、管理用户账号(比如员工、系统或应 用程序),并可以控制这些用户账号对您名下资源具有的操作权限。
阿里云RAM用户
最新发布
anguang1973的专栏
06-11 661
阿里云RAM(Resource Access Management)用户是阿里云访问控制服务(RAM)中的一种实体身份类型,通常与某个确定的人或应用程序一一对应。总之,阿里云RAM用户是实现多用户协同访问和权限管理的重要工具,通过创建、配置和授权RAM用户,可以实现精细化的权限控制,降低安全风险,并满足不同用户或应用程序的访问需求。
阿里云 专有云企业版 V3.8.1 云服务总线 CSB 技术白皮书 20190910
04-05
综上所述,阿里云专有云企业版V3.8.1的云服务总线CSB是一个强大且全面的服务集成解决方案,为企业提供了高效、安全的云服务管理和通信能力。通过深入理解CSB的架构、功能和使用规范,企业可以更好地利用云资源,提升...
阿里云 专有云企业版 V3.8.1 API 网关 技术白皮书 20190910
04-05
阿里云专有云企业版 V3.8.1 API 网关 技术白皮书 20190910】是阿里云针对其专有云企业版中API网关的一个详细技术文档,旨在为用户提供该版本API网关的功能、架构和使用指南。API网关作为微服务架构中的核心组件,...
阿里云 专有云企业版 V3.12.0 全局事务服务 GTS 安全白皮书 20200622.pdf
05-25
总之,阿里云全局事务服务GTS通过提供强一致性和高可用性的分布式事务解决方案,帮助企业构建可靠的分布式系统。同时,GTS 在安全合规方面也有着严谨的设计,确保了用户数据的安全和业务的稳定运行。用户在使用GTS...
阿里云 专有云企业版 V3.9.0 阿里云Elasticsearch 技术白皮书 20191017.pdf
06-16
阿里云上,它被集成到专有云企业版中,提供了更安全、稳定和高效的服务。 1. **Elasticsearch核心概念**: - **分布式架构**:Elasticsearch基于分布式文档数据库设计,能够轻松处理大量数据并提供高可用性和...
阿里云安全白皮书(中文版)3.0
09-01
阿里云安全白皮书(中文版)3.0,最新版本17年发布。数据安全和户隐私是阿里云的最重要原则。阿里云致于打造公共、开放、安全的云计算服务 平台。通过技术创新,不断提升计算能⼒与规模效益,将云计算变成真正意义上的基础设施。 阿里云竭诚为客户提供稳定、可靠、安全合规的云计算基础服务,帮助客户保护其系统及数据 的可⽤性、机密性和完整性。
阿里云之创建ram
我心坚持
03-14 618
授权用户
使用RAM授权的方式操作(上传/下载等)阿里云对象存储OSS(含完整步骤和代码)
分享一点有用的知识
02-28 2585
使用RAM授权的方式操作(上传/获取等)阿里云对象存储OSS
阿里云配置之加固RAM账号
Eric.zhong
01-18 1422
RAM用户是RAM的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。RAM用户由阿里云账号(主账号)或具有管理员权限的其他RAM用户、RAM角色创建,创建成功后,归属于该阿里云账号,它不是独立的阿里云账号。RAM用户不拥有资源,不能独立计量计费,由所属的阿里云账号统一付费。RAM用户必须在获得授权后,才能登录控制台或使用API访问阿里云账号下的资源。RAM用户拥有独立的登录密码或访问密钥。
阿里云RAM运维最佳实践
测试0901-1
01-14 2297
阿里云RAM运维最佳实践 作者:华正 瑞理1 阿里云RAM介绍 访问控制(Resource Access Management,简称RAM)是一个稳定可靠的集中式访问控制服务。您可以通过访问控制将阿里云资源的访问及管理权限分配给您的企业成员或合作伙伴。 产品首页:https://www.aliyun.com/product/ram 帮助文档:htt...
阿里云 身份提供商_编写角色身份提供者
cumei1658的博客
07-14 923
阿里云 身份提供商As I said in my last post, I recently added Persona Identity Provider functionality to this blog. If you follow me on Twitter (and really, why wouldn’t you?), you might have noticed that this...
-Error-阿里云远程桌面连接时提示发生身份验证错误
Schon_zh的博客
09-26 3633
阿里云一段时间没有连,今天远程,提示“发生身份验证错误”,密码重置之后依旧提示该错误。 解决办法: 登陆阿里云网站,登陆后,点击控制台 2. 选择云服务器 3. 选择正在运行的服务器 4. 选择远程连接,输入远程密码 5. 依次点击开始,我的电脑,属性 6. 点击远程设置 7. 将远程设置选到第二条既可 8. 重新进行远程,连接成功! ...
服务器知识:阿里云服务器创建RAM用户的方法
软贱开发攻城狮
12-11 6362
       在阿里云服务器维护过程中,创建RAM用户是必须要有的,尤其是公司有多名运维人员的时候。在阿里云服务器控制台里面的RAM控制台中可以设置RAM用户的登录密码以RAM用户安全策略。        一、RAM的初始设置     (一)设置账号别名        为云账号设置一个RAM账号别名,能让RAM用户更容易记住登录入口。由于安全原因,RAM用户的登录入口不同于主账号的登录入口。...
阿里云专有云企业版V3.8.1关系网络分析安全白皮书
7. 安全白皮书价值:此白皮书为企业提供了理解阿里云专有云安全架构、政策和流程的窗口,帮助企业制定自己的安全策略,并了解如何与阿里云平台进行安全集成,确保业务的稳定和合规运行。 阿里云专有云企业版V3.8.1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值