本文介绍在进行用户SSO时,您的IdP颁发的SAML断言必须具备的属性元素。

背景信息

阿里云需要通过UPN (User Principal Name)来定位一个RAM用户,所以要求企业IdP生成的SAML断言包含用户的UPN。阿里云通过解析SAML断言中的NameID元素,来匹配RAM用户的UPN从而实现用户SSO。

因此,在配置IdP颁发的SAML断言时,需要将对应于RAM用户UPN的字段映射为SAML断言中的NameID元素。

配置NameID元素

NameID元素必须是以下几种:

  • 使用域别名作为NameID元素的后缀,即<username>@<domain_alias>。其中<username>为RAM用户的用户名,<domain_alias>为域别名。关于如何设置域别名,请参见创建域别名
  • 使用辅助域名作为NameID元素的后缀,即<username>@<auxiliary_domain>。其中<username>为RAM用户的用户名,<auxiliary_domain> 为辅助域名。关于如何设置辅助域名,请参见阿里云用户SSO的SAML配置
    说明 如果您同时设置了域别名和辅助域名,辅助域名将不会生效。此时,NameID元素只能使用域别名作为后缀。
  • 使用默认域名作为NameID元素的后缀,即<username>@<default_domain>。其中<username>为RAM用户的用户名,<default_domain>为默认域名。关于如何设置默认域名,请参见管理默认域名
    说明 即使设置了域别名或辅助域名,仍可以使用默认域名作为NameID的后缀。

示例

RAM用户名为Alice,默认域名为example.onaliyun.com
  • 如果设置了域别名为example.com,SAML断言中的NameID取值为Alice@example.onaliyun.comAlice@example.com
  • 如果没有设置域别名,设置了辅助域名为example2.com,SAML断言中的NameID取值为Alice@example.onaliyun.comAlice@example2.com
  • 如果设置了域别名为example.com后,又设置了辅助域名为example2.com,SAML断言中的NameID取值为Alice@example.onaliyun.comAlice@example.com