阿里云RAM数据集成

最后更新:2021-12-06

1. 场景描述

image.png
应用场景图描述:
(1) 管理员在IDP4统一身份认证平台设置SCIM同步任务,同步任务可设置实时同步、手动同步、定时同步;
(2) IDP4统一身份认证平台触发同步任务后通过SCIM接口将用户信息同步到IDsConnector系统;
(3) IDsConnector系统当收到IDP统一身份认证平台同步的数据时会提供标准协议或API接口的方式同步到其他应用系统中。

2. 支持的对象

支持同步用户。

3. 同步模式

使用connector配置IDP4到RAM的同步,同步计划配置为:
image.png

  • 数据接收方式:被动接收;

4. IDsConnector配置方式

image.png
说明配置流程如上。如果没有特殊需求,可以跳过创建映射模板操作,直接使用connector内置的映射模板,或者再创建同步任务中进行调整。

4.1. 新建同步来源

  1. 先登录IDP,创建一个应用,并开启应用的APIimage.png

  2. 在来源管理页面,点击“新建同步来源”

image.png

  1. 配置同步来源参数,来源管理配置如图:

image.png

  • 来源名称:随意填写,注意唯一性即可;还是需要注意一下选择的环境是否和目标管理的一致

**   **image.png

  • 来源主类型:SCIM

  • 来源子类型:IDP4_SCIM

  • Basic URL:IDP 的域名或者IP,如果有负载要填写负载的地址,如 https://lin.idp4.idsmanager.com

  • Client ID : IDP 中创建的应用的API Key

  • Client Secret:IDP中创建的应用的API Secret

  • 版本号:固定为 v1.2 (该字段是预留的,以应对后续IDP的API做了版本升级时,进行兼容处理,当前固定值 v1.2)

  1. 点击“测试连接”,确保连接的参数配置正确,如果测试通过,点击“提交”

4.2. 新建同步目标

  1. 在connector的目标管理页面,点击新建同步目标

image.png

  1. 获取阿里云账户的AK\SK

登录阿里云账号,鼠标移动到右上角头像图标,点击Access_Key管理
image.png获取阿里云账号的AK、SK
image.png

  1. 配置同步目标

image.png

  • 目标名称:随意填写,注意唯一性即可;

  • 目标主类型:APP_STANDARD

  • 目标子类型:RAM

  • 区域ID:cn-hangzhou,这个是选择RAM之后默认填充的,不需要进行修改

  • access Key ID: 上一步获取的阿里云账号的AK

  • access Key Secret:上一步获取的阿里云账号的SK

  1. 点击“测试连接”,确保连接的参数配置正确,然后点击“保存”

4.3. 配置映射模板

connector 中内置了一部分常用的映射模板,如果没有特殊需求的话可以直接使用。
image.png
映射属性对应如图,左侧是IDP的字段名,右侧是RAM中的字段名
image.png

4.4. 保存同步任务

  1. 在同步任务中点击新建同步任务

image.png

  1. 在“同步来源”页签中选择之前创建的IDP4来源

image.png

  • 来源根节点标识:填写IDP4的根节点的外部ID,可以在IDP4中点击“根节点–详情”进行查看(RAM中沒有组织机构层级概念,所以此处的配置项目,实际并不起任何作用)。

  • 同步范围:选择用户

  1. 在“同步目标”页签中选择之前创建的 RAM 目标

image.png

  • 目标根节点标识:空即可(RAM中沒有组织机构层级概念)

  • **默认密码:**空即可(RAM不账号同步不支持设置密码,所以此处可以为空)

  • **检测模式:**开启之后,新增账户时会先向RAM查询该账户是否在RAM中已存在,如果存在的话就会做修改操作。

  1. 在“属性映射”页签中,点击导入映射模板

image.png这里会根据前两步选择的来源和目标,自动过滤符合条件的映射模板,点击确认导入。
image.png

这里展示的就是这个同步任务具体用到的字段映射规则,可以根据需求进行调整。
image.pngtip:历史版本中可能缺少externalId->sourceId的数据映射,请在升级到最新的connector时自行添加即可。

  1. 配置同步计划

根据上面同步模式的介绍进行配置即可。

4.5. 在IDsConnector创建密钥

IDP4在向外推送数据时,需要在应用位置配置SCIM【即下文中的4.6步骤】,配置SCIM时,需要一个Oauth认证的AK和SK. 改AK\SK可以在IDsConnector的“密钥管理”生成;
image.png        如上图,点击“新建密钥”后,打开如下界面,需要输入密钥名称,密钥名称需要唯一;描述信息可以为空,或者输入该密钥的用途等。
image.png
点击“保存”,密钥创建成功默认是禁用状态,需要在列表页点击“启用”。
image.png

4.6. 在IDP4中配置应用的SCIM同步

回到IDP4的管理控制台,找到之前创建的应用,依次点击“详情–SCIM配置”
image.png
打开如下界面,依输入同步地址和密钥信息;
image.png

  • SCIM同步地址:

    • 组织机构: {{connector地址}}/api/sync/v1/data_accept/idp4/organization/id/{transformConfigId}

    • 账       户: {{connector地址}}/api/sync/v1/data_accept/idp4/account/id/{transformConfigId}

其中{transformConfigId}为对应IDsConnector中同步任务的ID,如下图
图片.png

  • 协议类型:OAuth2

  • oauth url:     {{connector地址}}/oauth/form_token

  • client_id:       connector 密钥管理中创建的密钥的客户端ID

  • client_secret:connector 密钥管理中创建的密钥的客户端密钥


上述步骤配置完成后,在IDP4中触发到对应应用的SCIM同步时,会触发connector对应的同步任务,自动推送到同步的目标中。