使用RAM用户单点登录阿里云控制台

背景信息

某些企业员工日常办公需访问阿里云控制台，且部分员工拥有多个阿里云主账号，访问不同的主账号需要频繁，耗时长且影响用户体验。

解决方案

IDaaS应用身份服务通过RAM用户单点登录阿里云控制台，如果某个用户有多个阿里云主账号，只需添加多个阿里云控制台应用并用不同名称进行区分，即可实现针对不同阿里云账号控制台的单点登录。

用户也可使用AD账户，或者钉钉扫码等方式登录到阿里云控制台，实现用户认证方式的统一管理和访问。

操作步骤

一、RAM用户准备

1. 使用阿里云账号登录阿里云

2. 搜索访问控制-> 进入RAM控制台。

3. 进入控制台后，点击人员管理中的用户，创建RAM用户

   

二、IDaaS添加阿里云控制台

1. 应用列表中选择阿里云控制台添加应用

2. 添加SigningKey(证书)

3. 在SigningKey列表界面中右侧点击“选择”进入SAML配置界面。

根据提示填写阿里云个人域名称，IDaaS IdentityId、SP Entity ID和SP ACS URL(SSO Location)等参数并保存，其中红框部分需要替换成阿里云账户ID.

NameIdFomat选择"urm:oasis:names:tc:SAML:2.0:nameid-format:persistent"。

在阿里云控制台点击右上角头像图标，在账号管理-安全设置页面获取阿里云账号ID

也可以通过RAM展示用户位置获取账户ID

4. 保存应用成功，切换到应用列表，查看应用详情

导出SAML元数据文件Metadata.xml

三、阿里云控制台中配置SSO单点登录

1. 切换到阿里云控制台中上传Metada.xml文件，点击SSO管理-点击“用户SSO”进入页面，开启SSO功能，并上传元文件

四、从IDaaS单点登录到阿里云控制台

1. 首先确保应用是开启状态

2. 确认在IDaaS中用户是否存在，没有则创建用户

3. 在应用授权模块对应用进行授权

4. 在IDaaS中给应用的主账户绑定子账户，主账户是IDaaS中创建的用户，子账户是阿里云控制台中的RAM用户 主子账户绑定如下图，zetest001是在IDaaS中创建的账户，作为主账户；RAM-user是RAM中的账户，作为子账户，子账户只需要输入RAM账户名称

5. 在IDaaS实例列表页获取访问普通用户的登录地址，copy下面的链接

6. 输入IDaaS中创建的用户进行登录，登录成功后，点击首页的阿里云控制台图标进行单点登录

若以上步骤全部成功完成，即可实现RAM用户单点登录阿里云控制台。

FAQ

1. 显示下图错误，请确认是否在阿里云RAM控制台上传了metadata文件

2. 显示下图错误，请确认IDaaS IdentityId 和 SP Entity ID的值是否添加正确

3. 如何修改SSO登录后跳转的地址？

修改RelayState的值

4. RAM开启单点登录配置后，原来RAM子账户的登录方式是否还可以继续使用

不可以使用。因为开启RAM的SSO功能后，登录就被IDaaS接管了，访问原来的登录入口会直接跳转到IDaaS登录页面。