相关产品

相关推荐

探索阿里云产品,构建云上应用和服务

免费试用

相关产品

相关推荐

探索阿里云产品,构建云上应用和服务

免费试用

温馨提示

抱歉,登录前您只能看到8页哦。立刻登录,浏览全部技术解决方案最佳实践案例内容!

如果您是企业账号,可以生成子账号授权访问。

BpFile(id=157, bpId=152, name=RAM角色集成企业OpenLDAP身份认证, author=null, keyword=OpenLDAP,KeyCloak,SSO,角色SSO,单点登录, description=企业OpenLDAP用户以KeyCloak实现用户/用户组映射为RAM角色的SSO。, position=null, ossUrl=bp-RK6I5XULQCGMIZ87.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=1, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=

场景描述 本文介绍阿里云RAM使用KeyCloak集成企业OpenLDAP, 管理员工的身份及权限。配置RAM角色与KeyCloak 用户 /用户组的映射关系,实现企业员工使用企业OpenLDAP账 号以单点登录(SSO)的方式访问阿里云控制台。 解决问题 快速部署OpenLDAP及用户创建。 快速部署KeyCloak,并与OpenLDAP实现用户联 合。 阿里云角色SSO配置。 KeyCloak用户绑定RAM角色SSO。 KeyCloak用户组绑定RAM角色SSO。 产品列表 访问控制RAM 专有网络VPC 云服务器ECS 容器镜像服务ACR

, templateId=F3LQRLTO59UVFHE6, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=F3LQRLTO59UVFHE6, partner=null, partnerUrl=null, partnerLogo=null, cooperation=null, cooperationList=null)
1RAM角色集成企业 OpenLDAP身份认证 最佳实践 业务架构 场景描述 本文介绍阿里云 RAM使用 KeyCloak集成企业 OpenLDAP,管理员工的身份及权限。配置 RAM 解决问题 角色与 KeyCloak 用户或用户组的映射关系,实 快速部署 OpenLDAP及用户创建。 现企业员工使用企业 OpenLDAP账号以单点登 录(SSO)的方式访问阿里云控制台。 快速部署 KeyCloak,并与 OpenLDAP实现用户 联合。 阿里云角色 SSO配置。 KeyCloak用户绑定 RAM 角色 SSO。 KeyCloak用户组绑定 RAM 角色 SSO。 产品列表 访问控制 RAM 专有网络 VPC 云服务器 ECS 容器镜像服务 ACR 云架构设计工具 CADT
2文档模板(手册名称)/Error! Use the Home tab to apply 云服务器 ECS(产品名称) 标题 to the text that you want to appear here. 阿里云 RAM角色 集成企业 OpenLDAP身份认证 文档版本:20210616(发布日期) 文档版本:20150122(发布日期) II
3RAM角色以 KeyCloak集成企业 OpenLDAP身份认证 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 RAM角色以 KeyCloak集成企业 OpenLDAP身份认证 文档编号 152 文档版本 V1.5 版本日期 2021-06-16 文档状态 外部发布 制作人 谈慧杰 审阅人 - 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2020-03-06 谈慧杰、十义 云魁 创建 V1.1 2020-03-13 筱晖 - 文档优化 V1.2 2020-03-18 谈慧杰 - 添加 Sample Code V1.3 2020-04-02 谈慧杰 - KeyCloak指定版本 V1.4 2020-04-10 谈慧杰 - 增加部署架构图 V1.5 2021-06-16 谈慧杰 - 使用 CADT部署资源环境 文档版本:20210616 I
4RAM角色以 KeyCloak集成企业 OpenLDAP身份认证 前言 前言 概述 阿里云支持基于 SAML 2.0的 SSO(Single Sign On,单点登录),也称为身份联合登 录。 本文介绍阿里云 RAM使用 KeyCloak集成企业 OpenLDAP,管理员工的身份及权限。 配置 RAM 角色与 KeyCloak 用户/用户组的映射关系,实现企业员工使用企业 OpenLDAP账号以单点登录(SSO)的方式访问阿里云控制台。管理员通过员工的用 户/用户组来管理员工对阿里云账号的访问权限。 在本例中,企业拥有阿里云账号,要管理的权限为 admin 和 readonly,企业员工用户 名为 user1和 user2,需要实现企业本地 OpenLDAP用户到阿里云账号的 SSO。 本文详细介绍通过 KeyCloak与 OpenLDAP的用户联合设置,实现 OpenLDAP到 KeyCloak的用户同步;并在 KeyCloak中设置用户组,将 user2加入用户组 readers。 演示用户和用户组分别绑定阿里云角色实现 SSO登录阿里云的方法和步骤。 user1直接绑定阿里云角色以 SSO方式登录阿里云 user2以其所属用户组绑定的阿里云角色以 SSO方式登录阿里云。 阿里云账号、RAM 用户、角色的权限管理请参考: 《阿里云 RAM 账号权限管理最佳实践》( https://www.aliyun.com/acts/best- practice/preview?id=52106) 适用范围 本实践适用于通过本地用户/用户组与 RAM角色映射,在本地用户完成身份认证后使 用映射的 RAM角色访问阿里云控制台的场景。 名词解释 身份提供商(IdP):身份提供商提供身份管理和认证服务,通过 SAML 2.0协议向 SP发出包含已认证用户信息的 SAML断言。例如: ˉ 企业本地 IdP :Microsoft Active Directory Federation Service (AD FS)、 Shibboleth 等。 ˉ Cloud IdP :Azure AD、Google G Suite、Okta、OneLogin 等。 文档版本:20210616 III
5RAM角色以 KeyCloak集成企业 OpenLDAP身份认证 前言 服务提供商(SP):利用 IdP 的身份管理功能,为用户提供具体服务的应用,SP 会使用 IdP 提供的用户信息。一些非 SAML 协议的身份系统(例如:OpenID Connect),也把服务提供商称作 IdP 的信赖方。 安全断言标记语言(SAML 2.0):实现企业级用户身份认证的标准协议,它是 SP 和 IdP之间实现沟通的技术实现方式之一。 SAML 2.0已经是目前实现企业级 SSO 的一种事实标准。 SAML断言(SAML assertion):SAML协议中用来描述认证请求和认证响应的核 心元素。例如:用户的具体属性就包含在认证响应的断言里。 信赖(Trust):建立在 SP和 IdP之间的互信机制,通常由公钥和私钥来实现。SP 通过可信的方式获取 IdP的 SAML元数据,元数据中包含 IdP签发 SAML断言的 签名验证公钥,SP则使用公钥来验证断言的完整性。 轻型目录访问协议:即 Lightweight Directory Access Protocol,缩写:LDAP,是 一个开放的,中立的,工业标准的应用协议,通过 IP协议提供访问控制和维护分 布式信息的目录信息。目录服务在开发内部网和与互联网程序、共享用户、系统、 网络、服务和应用的过程中占据了重要地位。 OpenLDAP:是轻型目录访问协议(Lightweight Directory Access Protocol, LDAP) 的开源实现。提供对用户、设备等对象的创建、查询和修改等功能。 KeyCloak:是一个开源软件产品,旨在为现代的应用程序和服务,提供包含身份 管理和访问管理功能的单点登录(SSO)工具。 文档版本:20210616 IV
6RAM角色以 KeyCloak集成企业 OpenLDAP身份认证 目录 目录 文档版本信息 ........................................................................................................................................................ I 法律声明 ............................................................................................................................................................... II 前言 ..................................................................................................................................................................... III 目录 ...................................................................................................................................................................... V 最佳实践概述 ....................................................................................................................................................... 1 前置条件 ............................................................................................................................................................... 3 演示环境说明 ....................................................................................................................................................... 4 1. 创建基础资源 ............................................................................................................................................... 6 2. 确认并配置资源环境 .................................................................................................................................... 7 2.1. 确认 ECS及 EIP实例 ...................................................................................................................... 7 2.2. 配置安全组 .................................................................................................................................... 7 3. 部署 Docker Engine-Community环境 .......................................................................................................... 10 3.1. 安装 Docker Engine-Community ................................................................................................... 10 3.2. 配置镜像加速 .............................................................................................................................. 13 4. 部署 OpenLDAP ........................................................................................................................................... 16 4.1. 部署 OpenLDAP及 phpLDAPadmin .............................................................................................. 16 4.2. 创建本地用户 .............................................................................................................................. 18 5. 部署 KeyCloak .............................................................................................................................................. 28 5.1. 部署 KeyCloak应用 ...................................................................................................................... 28 5.2. 配置使用 KeyCloak中文界面 ....................................................................................................... 30 6. 配置 KeyCloak .............................................................................................................................................. 33 6.1. 添加 test.com域 .......................................................................................................................... 33 6.2. 获取 test.com域 IDP元数据信息文件 ....................................................................................... 34 6.3. 配置 KeyCloak用户联合 .............................................................................................................. 35 7. 阿里云角色 SSO SAML配置 ........................................................................................................................ 38 7.1. 更新 SSO登录设置并创建角色 ................................................................................................... 38 7.2. 获取身份提供商 test.com的 ARN信息 ....................................................................................... 45 7.3. 获取阿里云角色 SSO SAML服务提供商元数据 .......................................................................... 46 8. KeyCloak中添加阿里云为 SAML服务提供商 ............................................................................................. 48 8.1. 添加阿里云为 SAML 服务提供商 ............................................................................................... 48 8.2. 添加阿里云 RAM角色 ................................................................................................................. 50 8.3. 为阿里云 SP配置 SAML断言属性............................................................................................... 51 8.3.1. RoleSessionName映射 ......................................................................................................... 51 8.3.2. Role映射 .............................................................................................................................. 53 8.3.3. Session Duration映射 ........................................................................................................... 55 8.4. 配置阿里云 SP作用域 ................................................................................................................. 57 8.5. 配置阿里云 SP客户端模版 ......................................................................................................... 58 9. KeyCloak用户/用户组绑定角色.................................................................................................................. 60 9.1. 设置用户绑定角色....................................................................................................................... 60 9.2. 设置用户组绑定角色 ................................................................................................................... 62 10. KeyCloak SSO验证 ............................................................................................................................... 67 文档版本:20210616 V
7RAM角色以 KeyCloak集成企业 OpenLDAP身份认证 目录 10.1. KeyCloak SSO登录地址 ................................................................................................................ 67 10.2. 验证用户绑定角色 SSO登录 ....................................................................................................... 67 10.3. 验证用户组绑定角色 SSO登录 ................................................................................................... 68 文档版本:20210616 VI
8RAM角色以 KeyCloak集成企业 OpenLDAP身份认证 最佳实践概述 最佳实践概述 概述 本最佳实践描述阿里云访问控制(RAM)如何使用 KeyCloak集成企业 OpenLDAP管 理员工的身份及权限。配置 RAM角色与 KeyCloak 用户或 RAM角色与 KeyCloak用 户组的映射关系,以 OpenLDAP用户身份认证校验后以相应 RAM角色身份访问阿里 云,即角色 SSO。此模式下,在 RAM角色上设定阿里云的授权策略,企业用户无需 感知 RAM用户或角色,仅使用 OpenLDAP本地用户名和密码即可登录阿里云控制台, 并自动获取该用户或其所属用户组所对应的 RAM角色上的权限。 SSO概述 阿里云支持基于 SAML 2.0 的 SSO(Single Sign On,单点登录),也称为身份联合登 录。比如企业可以使用自有的身份系统实现与阿里云的 SSO。 SSO的方式 企业根据自身需要,使用支持 SAML 2.0的企业 IdP与阿里云进行 SSO。阿里云提供 以下两种基于 SAML 2.0协议的 SSO方式: 用户 SSO:阿里云通过 IdP颁发的 SAML断言确定企业用户与阿里云 RAM用户 的对应关系。企业用户登录后,使用该 RAM用户访问阿里云。 角色 SSO:阿里云通过 IdP颁发的 SAML断言确定企业用户在阿里云上可以使用 的 RAM角色。企业用户登录后,使用 SAML断言中指定的 RAM角色访问阿里 云。 SSO方式的比较 SSO方式 SP 发起的 IdP发起的 使用 RAM用 一个 IdP关联多 多个 IdP SSO SSO 户账号和密 个阿里云账号 码登录 用户 SSO √ √ × × × 角色 SSO × √ √ √ √ 文档版本:20210616 1