文档

使用Okta进行角色SSO的示例

更新时间:

本文提供一个以Okta与阿里云进行角色SSO的示例,帮助您理解企业IdP与阿里云进行SSO的端到端配置流程。

操作流程

本文的配置目标是在Okta应用中创建一个名为approle的属性,并根据这个属性的值来映射访问阿里云的RAM角色。您可以按照下图所示的操作流程完成阿里云、Okta的配置。

流程图

步骤一:在Okta创建支持SAML SSO的应用

  1. 登录Okta门户

  2. 单击页面右上方的账号图标,然后单击Your Org

  3. 在左侧导航栏,选择Applications > Applications

  4. Applications页面,单击Create App Integration

  5. Create a new app integration对话框,单击SAML 2.0,然后单击Next

  6. 配置应用名称为role-sso-test,单击Next

  7. 配置SAML,然后单击Next

    • Single sign-on URLhttps://signin.aliyun.com/saml-role/sso

    • Audience URI (SP Entity ID)urn:alibaba:cloudcomputing

    • Default RelayState:用来配置用户登录成功后跳转到的阿里云页面。

      说明

      出于安全原因,您只能填写阿里巴巴旗下的域名URL作为Default RelayState的值,例如:*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com,否则配置无效。若不配置,默认跳转到阿里云控制台首页。

    • Name ID format:选择EmailAddress

    • Application username:选择Email

    • Update application username on:保持默认值。

  8. Feedback页面,根据需要选择合适的应用类型,然后单击Finish

步骤二:在Okta获取SAML IdP元数据

  1. 在应用程序role-sso-test详情页,单击Sign On页签。

  2. SAML 2.0区域,复制Metadata URL,将IdP元数据另存到本地。

步骤三:在阿里云创建SAML身份提供商

  1. 使用阿里云账号登录RAM控制台

  2. 在左侧导航栏,选择集成管理 > SSO管理

  3. 角色SSO页签,单击SAML页签,然后单击创建身份提供商

  4. 创建身份提供商页面,输入身份提供商名称(okta-provider)和备注

  5. 元数据文档区域,单击上传文件,上传从步骤二:在Okta获取SAML IdP元数据中获取的IdP元数据。

  6. 单击确定

步骤四:在阿里云创建RAM角色

  1. 在RAM控制台的左侧导航栏,选择身份管理 > 角色

  2. 角色页面,单击创建角色

  3. 创建角色面板,选择可信实体类型为身份提供商,然后单击下一步

  4. 输入角色名称(admin)和备注

  5. 选择身份提供商类型为SAML

  6. 选择从步骤三:在阿里云创建SAML身份提供商中创建的身份提供商并查看限制条件后,然后单击完成

  7. 单击关闭

步骤五:在Okta配置Profile

  1. 编辑Profile,创建一个新的Attribute。

    1. 在Okta左侧导航栏,选择Directory > Profile Editor

    2. 搜索并单击目标应用名称role-sso-test。

    3. Profile Editor页面的Attributes区域,单击Add Attribute

    4. Add Attribute对话框,填写Attribute信息。

      • Data type:选择string

      • Display name:填写将在用户界面中显示的名称,本示例中请填写approle

      • Variable name:填写将在映射中引用的变量名称,本示例中请填写approle。您需要记录该参数的值,下一步配置Attribute的时候会用到。

      • Description:请根据需要填写属性描述,可以不填写。

      • Enum:选中Define enumerated list of values,定义一个枚举值列表。

        说明

        我们使用Enum来确保用户只能使用预定义的属性值。您也可以不使用Enum,而获得更高的灵活性。

      • Attribute members:填写枚举值列表,Value必须要与RAM中创建的角色名称相同,例如:admin、reader。

      • Attribute Length:本示例使用枚举值,因此不需要设置。如果您实际中未使用枚举值,请根据需要设置属性长度。

      • Attribute required:选中Yes

      • Scope:取消选中User personal

    5. 单击Save

  2. 配置Attribute。

    1. 在Okta左侧导航栏,选择Applications > Applications

    2. 单击应用名称role-sso-test。

    3. General页签下的SAML Settings区域,单击Edit

    4. Configure SAML页面的Attribute Statements (optional)区域,配置如下图所示的两条数据。edit Attribute

      • 配置第1条数据:

        • Name:填写https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName

        • Value:选择user.email

      • 配置第2条数据:

        • Name:填写https://www.aliyun.com/SAML-Role/Attributes/Role

        • Value:取值为String.replace("acs:ram::<account_id>:role/$approle,acs:ram::<account_id>:saml-provider/okta-provider", "$approle", appuser.approle),是用登录用户在应用Profile中的approle属性值来替换$approle占位符,从而获取最终的SAML属性值。其中approle是之前在Profile Attribute中定义的属性。okta-provider步骤三:在阿里云创建SAML身份提供商中创建的身份提供商。<account_id>需要替换为您的阿里云账号ID。例如:String.replace("acs:ram::177242285274****:role/$approle,acs:ram::177242285274****:saml-provider/okta-provider", "$approle", appuser.approle)

步骤六:在Okta创建用户并分配应用

  1. 创建用户。

    1. 在Okta左侧导航栏,选择Directory > People

    2. 单击Add person

    3. Add Person页面,填写基本信息并将Primary email配置为被邀请用户的Email,例如:username@example.com,然后单击Save

    4. 在用户列表中,单击用户username@example.com Status列的Activate,然后根据页面提示激活username@example.com。

  2. 分配应用。

    分配应用有以下两者方式,请任选其一。

    • 为单个用户分配应用。

      1. 在Okta左侧导航栏,选择Applications > Applications

      2. 单击目标应用名称role-sso-test后,在Assignments页签下,选择Assign > Assign to People

      3. 单击目标用户username@example.com后的Assign

      4. 选择approle为admin。

      5. 单击Save and Go Back

      6. 单击Done

    • 将用户加入组,为组分配应用。

      1. 在Okta左侧导航栏,先选择Directory > Groups,然后单击Add Group,创建一个组。

      2. 单击组名称,然后单击Manage People,添加用户到组中。

      3. 在Okta左侧导航栏,选择Applications > Applications

      4. 单击目标应用名称role-sso-test后,在Assignments页签下,单击Assign > Assign to Groups

      5. 单击目标组后的Assign

      6. 选择approle为admin。

      7. 单击Save and Go Back

      8. 单击Done

      说明

      如果一个用户属于多个组,生效的属性值只能有一个,即在应用的Assignments页签下第一个加入的组的相应属性会生效。如果用户所属的组发生变化,则会影响approle的取值。详情请参见Okta用户指南

验证结果

  1. 在Okta左侧导航栏,选择Applications > Applications

  2. 单击应用名称role-sso-test。

  3. General页签下的App Embed Link区域,复制Embed Link中的URL。

  4. 打开另一个浏览器,输入获取到的URL,用username@example.com登录。

    如果成功跳转到您设置的Default RelayState对应页面(或默认的阿里云控制台首页),则说明登录成功。successful result

(可选)在Okta中配置用户对应的多个角色

如果您需要让用户对应阿里云的多个角色,则必须使用Group Attribute Statement,借助Group Name进行配置。具体的配置方法如下:

  1. 创建多个组。其组名应按照SAML断言中Role Attribute要求的格式,例如:acs:ram::177242285274****:role/admin,acs:ram::177242285274****:saml-provider/okta-provider。add group

  2. 将username@example.com加入多个组。

  3. 在应用的SAML Settings中,删除Role所对应的attribute statement,然后添加一个Group Attribute Statement。其中,Name填写https://www.aliyun.com/SAML-Role/Attributes/RoleFilter应确保能够过滤出上述组名,例如:Start with acs:ram。group Attribute

  4. 进行上述配置后,再次使用username@example.com登录阿里云时,该用户将会选择登录的角色。Role sign in

关于Okta的相关操作,请参见Okta用户指南

  • 本页导读 (1)
文档反馈