全部产品

使用RAM用户单点登录阿里云控制台

更新时间:2020-08-11 10:12:48

本文为您介绍如何通过RAM用户单点登录到阿里云控制台上,实现阿里云控制台的快捷登录,提升员工办公体验。

背景信息

某些企业员工日常办公需访问阿里云控制台,且部分员工拥有多个阿里云主账号,访问不同的主账号,需要频繁切换账号,耗时长且影响用户体验。

解决方案

IDaaS应用身份服务通过RAM用户单点登录阿里云控制台,如果某个用户有多个阿里云主账号,只需添加多个阿里云控制台应用并用不同名称进行区分,即可实现针对不同阿里云账号控制台的单点登录。

操作步骤

一、RAM用户准备

说明如果您RAM中已有用户,可以跳过该步骤
  1. 使用阿里云账号登录阿里云
  2. 进入访问控制登录控制台–>产品与服务–>搜索访问控制–>进入RAM访问控制
  3. 创建RAM账户
  4. 进入控制台后,点击人员管理中的用户,创建RAM用户

二、IDaaS添加阿里云控制台

  1. 应用列表中选择阿里云控制台添加应用
  2. 添加SigningKey(证书)
  3. 配置SAML内容
  4. 在SigningKey列表界面中右侧点击“选择”进入SAML配置界面。

    根据提示填写阿里云个人域名称,IDaaS IdentityId、SP Entity ID和SP ACS URL(SSO Location)等参数并保存,其中红框部分需要替换成阿里云账户ID

    NameIdFomat选择"urm:oasis:names:tc:SAML:2.0:nameid-format:persistent"。

    阿里云账户ID获取方式如下:

    在阿里云控制台点击右上角头像图标,在账号管理-安全设置页面获取阿里云账号ID

  5. 保存应用成功,切换到应用列表,查看应用详情,导出SAML元数据文件Metadata.xml

三、阿里云控制台中配置SSO单点登录

  1. 切换到阿里云控制台中上传Metada.xml文件,点击SSO管理-点击“用户SSO”进入页面,进行编辑SSO登录设置,开启SSO功能,并上传元文件

四、从IDaaS单点登录到阿里云控制台

  1. 开启应用
  2. 在IDaaS中创建一个用户
  3. 在应用授权模块对应用进行授权
  4. 在IDaaS中给应用的主账户绑定子账户,主是IDaaS中创建的用户,子账户是阿里云控制台中的RAM用户,在用户页面点击新建用户,当填写到IDaas里面做子账户时,可以不需要带域名。
  5. 访问普通用户登录地址,copy下面的链接
  6. 说明请到云盾IDaaS控制台页面查看下面链接

  7. 输入IDaaS中创建的用户进行登录,登录成功后,点击首页的阿里云控制台图标进行单点登录

若以上步骤全部成功完成,即可实现RAM用户单点登录阿里云控制台。

FAQ

1. 显示下图错误,请确认是否在阿里云RAM控制台上传了metadata文件

2. 显示下图错误,请确认IDaaS IdentityId 和 SP Entity ID的值是否添加正确

3. 如何修改SSO登录后跳转的地址?

修改RelayState的值

12

4. RAM开启单点登录配置后,原来RAM子账户的登录方式是否还可以继续使用

1234

不可以使用。因为开启RAM的SSO功能后,登录就被IDaaS接管了,访问原来的登录入口会直接跳转到IDaaS登录页面。