备案控制台
阿里云 全部技术解决方案

RAM角色集成企业OpenLDAP身份认证

相关产品

相关推荐

探索阿里云产品,构建云上应用和服务

免费试用

相关产品

相关推荐

块存储

块存储是为云服务器ECS提供的低时延、持久性、高可靠的数据块级随机存储。块存储支持在可用区内自动复制您的数据,防止意外硬件故障导致的数据不可用,保护您的业务免于组件故障的威胁。就像对待硬盘一样,您可以对挂载到ECS实例上的块存储做分区、创建文件系统等操作,并对数据持久化存储。

专有网络 VPC

帮助您基于阿里云构建出一个隔离的网络环境,并可以自定义IP 地址范围、网段、路由表和网关等;此外,也可以通过专线/VPN/GRE等连接方式实现云上VPC与传统IDC的互联,构建混合云业务。

云服务器ECS

云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。

访问控制

RAM 使您能够安全地集中管理对阿里云服务和资源的访问。您可以使用 RAM 创建和管理用户和组,并使用各种权限来允许或拒绝他们对云资源的访问。

容器镜像服务 ACR

容器镜像服务(简称 ACR)提供云原生资产的安全托管和全生命周期管理,支持多场景下镜像的高效分发,与容器服务 ACK 无缝集成,打造云原生应用一站式解决方案。

云速搭CADT

云速搭CADT是一款为上云应用提供自助式云架构管理的产品,显著地降低应用云上管理的难度和时间成本。本产品提供丰富的预制应用架构模板,同时也支持自助拖拽方式定义应用云上架构;支持较多阿里云服务的配置和管理。用户可以方便的对云上架构方案的成本、部署、运维、回收进行全生命周期的管理。
云上网站经典架构

基于ECS、RDS和SLB经典云上架构,应对传统IDC在成本预估、系统稳定性、灾备等方面的挑战。
专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 对象存储 OSS 负载均衡 SLB CDN 云速搭CADT
电商网站业务安全

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作
云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理 云速搭CADT
云效+ACK构建容器云Devops平台

使用云效完成容器应用自动化构建和持续部署
专有网络 VPC 负载均衡 SLB 容器服务 ACK 云效 云速搭CADT
云桌面远程办公

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源
云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
基于ECI的ACK集群高弹性架构

使用ACK上运行常规业务,业务突发波动时突增业务运行在ECI上/达到成本的最优控制
云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 云数据库 Redis 版 弹性容器实例 ECI 云速搭CADT
自建Hadoop迁移MaxCompute

介绍如何将自建Hadoop集群及生态组件迁移到阿里云MaxCompute大数据服务。
云服务器ECS DataWorks 大数据计算服务 MaxCompute 云数据库 HBase 版 数据总线 云速搭CADT
RabbitMQ迁移消息队列AMQP

介绍如何将阿里云自建RabbitMQ迁移到消息队列AMQP
块存储 专有网络 VPC 云服务器ECS 访问控制 消息队列 MQ
企业上云等保三级合规

云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求
云服务器ECS 日志服务(SLS) 云安全中心 Web应用防火墙 操作审计 数据库审计 堡垒机 云防火墙 SSL证书 云速搭CADT
RAM账号权限管理

以电商网站场景为例介绍如何使用访问控制服务(RAM)进行账号权限管理。
专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 对象存储 OSS 访问控制 云速搭CADT
电商网站智能推荐

电商网站向用户推荐带有商品属性物品以促进交易,提升购买率和转化率
云服务器ECS 云数据库RDS MySQL 版 日志服务(SLS) 大数据计算服务 MaxCompute 智能推荐 云速搭CADT
基于MaxCompute的大数据BI分析

在互联网、电商及游戏等行业通常需要对海量数据做快速实时分析和决策/本文演示如何将业务数据和日志数据通过MaxCompute处理后汇总到ADB/并通过QuickBI等工具进行可视化分析的方案。
日志服务(SLS) 大数据计算服务 MaxCompute 云原生数据仓库AnalyticDB MySQL版 Quick BI 云速搭CADT
RAM角色集成企业OpenLDAP身份认证

企业OpenLDAP用户以KeyCloak实现用户/用户组映射为RAM角色的SSO。
块存储 专有网络 VPC 云服务器ECS 访问控制 容器镜像服务 ACR 云速搭CADT

探索阿里云产品,构建云上应用和服务

免费试用

温馨提示

抱歉,登录前您只能看到8页哦。立刻登录,浏览全部技术解决方案最佳实践案例内容!

如果您是企业账号,可以生成子账号授权访问。

BpFile(id=157, bpId=152, name=RAM角色集成企业OpenLDAP身份认证, author=null, keyword=OpenLDAP,KeyCloak,SSO,角色SSO,单点登录, description=企业OpenLDAP用户以KeyCloak实现用户/用户组映射为RAM角色的SSO。, position=null, ossUrl=bp-RK6I5XULQCGMIZ87.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=1, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=

场景描述 本文介绍阿里云RAM使用KeyCloak集成企业OpenLDAP, 管理员工的身份及权限。配置RAM角色与KeyCloak 用户 /用户组的映射关系,实现企业员工使用企业OpenLDAP账 号以单点登录(SSO)的方式访问阿里云控制台。 解决问题 快速部署OpenLDAP及用户创建。 快速部署KeyCloak,并与OpenLDAP实现用户联 合。 阿里云角色SSO配置。 KeyCloak用户绑定RAM角色SSO。 KeyCloak用户组绑定RAM角色SSO。 产品列表 访问控制RAM 专有网络VPC 云服务器ECS 容器镜像服务ACR

, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=F3LQRLTO59UVFHE6, partner=null, partnerUrl=null, partnerLogo=null, cooperation=null, cooperationList=null)
1RAM角色集成企业 OpenLDAP身份认证 最佳实践 业务架构 场景描述 本文介绍阿里云 RAM使用 KeyCloak集成企业 OpenLDAP,管理员工的身份及权限。配置 RAM 解决问题 角色与 KeyCloak 用户或用户组的映射关系,实 快速部署 OpenLDAP及用户创建。 现企业员工使用企业 OpenLDAP账号以单点登 录(SSO)的方式访问阿里云控制台。 快速部署 KeyCloak,并与 OpenLDAP实现用户 联合。 阿里云角色 SSO配置。 KeyCloak用户绑定 RAM 角色 SSO。 KeyCloak用户组绑定 RAM 角色 SSO。 产品列表 访问控制 RAM 专有网络 VPC 云服务器 ECS 容器镜像服务 ACR 云架构设计工具 CADT
2文档模板(手册名称)/Error! Use the Home tab to apply 云服务器 ECS(产品名称) 标题 to the text that you want to appear here. 阿里云 RAM角色 集成企业 OpenLDAP身份认证 文档版本:20210616(发布日期) 文档版本:20150122(发布日期) II
3RAM角色以 KeyCloak集成企业 OpenLDAP身份认证 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 RAM角色以 KeyCloak集成企业 OpenLDAP身份认证 文档编号 152 文档版本 V1.5 版本日期 2021-06-16 文档状态 外部发布 制作人 谈慧杰 审阅人 - 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2020-03-06 谈慧杰、十义 云魁 创建 V1.1 2020-03-13 筱晖 - 文档优化 V1.2 2020-03-18 谈慧杰 - 添加 Sample Code V1.3 2020-04-02 谈慧杰 - KeyCloak指定版本 V1.4 2020-04-10 谈慧杰 - 增加部署架构图 V1.5 2021-06-16 谈慧杰 - 使用 CADT部署资源环境 文档版本:20210616 I
4RAM角色以 KeyCloak集成企业 OpenLDAP身份认证 前言 前言 概述 阿里云支持基于 SAML 2.0的 SSO(Single Sign On,单点登录),也称为身份联合登 录。 本文介绍阿里云 RAM使用 KeyCloak集成企业 OpenLDAP,管理员工的身份及权限。 配置 RAM 角色与 KeyCloak 用户/用户组的映射关系,实现企业员工使用企业 OpenLDAP账号以单点登录(SSO)的方式访问阿里云控制台。管理员通过员工的用 户/用户组来管理员工对阿里云账号的访问权限。 在本例中,企业拥有阿里云账号,要管理的权限为 admin 和 readonly,企业员工用户 名为 user1和 user2,需要实现企业本地 OpenLDAP用户到阿里云账号的 SSO。 本文详细介绍通过 KeyCloak与 OpenLDAP的用户联合设置,实现 OpenLDAP到 KeyCloak的用户同步;并在 KeyCloak中设置用户组,将 user2加入用户组 readers。 演示用户和用户组分别绑定阿里云角色实现 SSO登录阿里云的方法和步骤。 user1直接绑定阿里云角色以 SSO方式登录阿里云 user2以其所属用户组绑定的阿里云角色以 SSO方式登录阿里云。 阿里云账号、RAM 用户、角色的权限管理请参考: 《阿里云 RAM 账号权限管理最佳实践》( https://www.aliyun.com/acts/best- practice/preview?id=52106) 适用范围 本实践适用于通过本地用户/用户组与 RAM角色映射,在本地用户完成身份认证后使 用映射的 RAM角色访问阿里云控制台的场景。 名词解释 身份提供商(IdP):身份提供商提供身份管理和认证服务,通过 SAML 2.0协议向 SP发出包含已认证用户信息的 SAML断言。例如: ˉ 企业本地 IdP :Microsoft Active Directory Federation Service (AD FS)、 Shibboleth 等。 ˉ Cloud IdP :Azure AD、Google G Suite、Okta、OneLogin 等。 文档版本:20210616 III
5RAM角色以 KeyCloak集成企业 OpenLDAP身份认证 前言 服务提供商(SP):利用 IdP 的身份管理功能,为用户提供具体服务的应用,SP 会使用 IdP 提供的用户信息。一些非 SAML 协议的身份系统(例如:OpenID Connect),也把服务提供商称作 IdP 的信赖方。 安全断言标记语言(SAML 2.0):实现企业级用户身份认证的标准协议,它是 SP 和 IdP之间实现沟通的技术实现方式之一。 SAML 2.0已经是目前实现企业级 SSO 的一种事实标准。 SAML断言(SAML assertion):SAML协议中用来描述认证请求和认证响应的核 心元素。例如:用户的具体属性就包含在认证响应的断言里。 信赖(Trust):建立在 SP和 IdP之间的互信机制,通常由公钥和私钥来实现。SP 通过可信的方式获取 IdP的 SAML元数据,元数据中包含 IdP签发 SAML断言的 签名验证公钥,SP则使用公钥来验证断言的完整性。 轻型目录访问协议:即 Lightweight Directory Access Protocol,缩写:LDAP,是 一个开放的,中立的,工业标准的应用协议,通过 IP协议提供访问控制和维护分 布式信息的目录信息。目录服务在开发内部网和与互联网程序、共享用户、系统、 网络、服务和应用的过程中占据了重要地位。 OpenLDAP:是轻型目录访问协议(Lightweight Directory Access Protocol, LDAP) 的开源实现。提供对用户、设备等对象的创建、查询和修改等功能。 KeyCloak:是一个开源软件产品,旨在为现代的应用程序和服务,提供包含身份 管理和访问管理功能的单点登录(SSO)工具。 文档版本:20210616 IV
6RAM角色以 KeyCloak集成企业 OpenLDAP身份认证 目录 目录 文档版本信息 ........................................................................................................................................................ I 法律声明 ............................................................................................................................................................... II 前言 ..................................................................................................................................................................... III 目录 ...................................................................................................................................................................... V 最佳实践概述 ....................................................................................................................................................... 1 前置条件 ............................................................................................................................................................... 3 演示环境说明 ....................................................................................................................................................... 4 1. 创建基础资源 ............................................................................................................................................... 6 2. 确认并配置资源环境 .................................................................................................................................... 7 2.1. 确认 ECS及 EIP实例 ...................................................................................................................... 7 2.2. 配置安全组 .................................................................................................................................... 7 3. 部署 Docker Engine-Community环境 .......................................................................................................... 10 3.1. 安装 Docker Engine-Community ................................................................................................... 10 3.2. 配置镜像加速 .............................................................................................................................. 13 4. 部署 OpenLDAP ........................................................................................................................................... 16 4.1. 部署 OpenLDAP及 phpLDAPadmin .............................................................................................. 16 4.2. 创建本地用户 .............................................................................................................................. 18 5. 部署 KeyCloak .............................................................................................................................................. 28 5.1. 部署 KeyCloak应用 ...................................................................................................................... 28 5.2. 配置使用 KeyCloak中文界面 ....................................................................................................... 30 6. 配置 KeyCloak .............................................................................................................................................. 33 6.1. 添加 test.com域 .......................................................................................................................... 33 6.2. 获取 test.com域 IDP元数据信息文件 ....................................................................................... 34 6.3. 配置 KeyCloak用户联合 .............................................................................................................. 35 7. 阿里云角色 SSO SAML配置 ........................................................................................................................ 38 7.1. 更新 SSO登录设置并创建角色 ................................................................................................... 38 7.2. 获取身份提供商 test.com的 ARN信息 ....................................................................................... 45 7.3. 获取阿里云角色 SSO SAML服务提供商元数据 .......................................................................... 46 8. KeyCloak中添加阿里云为 SAML服务提供商 ............................................................................................. 48 8.1. 添加阿里云为 SAML 服务提供商 ............................................................................................... 48 8.2. 添加阿里云 RAM角色 ................................................................................................................. 50 8.3. 为阿里云 SP配置 SAML断言属性............................................................................................... 51 8.3.1. RoleSessionName映射 ......................................................................................................... 51 8.3.2. Role映射 .............................................................................................................................. 53 8.3.3. Session Duration映射 ........................................................................................................... 55 8.4. 配置阿里云 SP作用域 ................................................................................................................. 57 8.5. 配置阿里云 SP客户端模版 ......................................................................................................... 58 9. KeyCloak用户/用户组绑定角色.................................................................................................................. 60 9.1. 设置用户绑定角色....................................................................................................................... 60 9.2. 设置用户组绑定角色 ................................................................................................................... 62 10. KeyCloak SSO验证 ............................................................................................................................... 67 文档版本:20210616 V
7RAM角色以 KeyCloak集成企业 OpenLDAP身份认证 目录 10.1. KeyCloak SSO登录地址 ................................................................................................................ 67 10.2. 验证用户绑定角色 SSO登录 ....................................................................................................... 67 10.3. 验证用户组绑定角色 SSO登录 ................................................................................................... 68 文档版本:20210616 VI
8RAM角色以 KeyCloak集成企业 OpenLDAP身份认证 最佳实践概述 最佳实践概述 概述 本最佳实践描述阿里云访问控制(RAM)如何使用 KeyCloak集成企业 OpenLDAP管 理员工的身份及权限。配置 RAM角色与 KeyCloak 用户或 RAM角色与 KeyCloak用 户组的映射关系,以 OpenLDAP用户身份认证校验后以相应 RAM角色身份访问阿里 云,即角色 SSO。此模式下,在 RAM角色上设定阿里云的授权策略,企业用户无需 感知 RAM用户或角色,仅使用 OpenLDAP本地用户名和密码即可登录阿里云控制台, 并自动获取该用户或其所属用户组所对应的 RAM角色上的权限。 SSO概述 阿里云支持基于 SAML 2.0 的 SSO(Single Sign On,单点登录),也称为身份联合登 录。比如企业可以使用自有的身份系统实现与阿里云的 SSO。 SSO的方式 企业根据自身需要,使用支持 SAML 2.0的企业 IdP与阿里云进行 SSO。阿里云提供 以下两种基于 SAML 2.0协议的 SSO方式: 用户 SSO:阿里云通过 IdP颁发的 SAML断言确定企业用户与阿里云 RAM用户 的对应关系。企业用户登录后,使用该 RAM用户访问阿里云。 角色 SSO:阿里云通过 IdP颁发的 SAML断言确定企业用户在阿里云上可以使用 的 RAM角色。企业用户登录后,使用 SAML断言中指定的 RAM角色访问阿里 云。 SSO方式的比较 SSO方式 SP 发起的 IdP发起的 使用 RAM用 一个 IdP关联多 多个 IdP SSO SSO 户账号和密 个阿里云账号 码登录 用户 SSO √ √ × × × 角色 SSO × √ √ √ √ 文档版本:20210616 1