本文主要介绍企业在使用用户SSO时,如何在企业身份提供商(IdP)中配置阿里云为可信SAML服务提供商(SP)。

操作步骤

  1. 从阿里云获取SAML服务提供商元数据URL。
    1. 云账号登录RAM控制台
    2. 在左侧导航栏,单击SSO管理
    3. 单击用户SSO
    4. SSO登录设置区域,可以查看当前云账号的SAML服务提供商元数据URL
  2. 在企业IdP中创建一个SAML SP,并根据实际情况选择下面任意一种方式配置阿里云为信赖方:
    • 直接使用上述阿里云的元数据URL进行配置。
    • 如果您的IdP不支持URL配置,您可以根据上述URL下载元数据文件并上传至您的IdP。
    • 如果您的IdP不支持元数据文件上传,则需要手动配置以下参数:
      • Entity ID:下载的元数据XML中,md:EntityDescriptor元素的entityID属性值。
      • ACS URL:下载的元数据XML中,md:AssertionConsumerService元素的Location属性值。
      • RelayState(可选):如果您的IdP支持设置RelayState参数,您可以将其配置成SSO登录成功后希望跳转到的页面URL。如果不进行配置,SSO登录成功后,将会跳转到阿里云控制台首页。
        说明 您只能填写*.console.aliyun.com域名下的URL作为RelayState的值。

后续步骤

在企业IdP中配置阿里云为可信SAML SP后,需要在企业IdP中配置SAML断言属性。详情请参见支持用户SSO的SAML断言