文档

阿里云角色 SSO

更新时间:

本文介绍如何实现阿里云 RAM 角色的 SSO。

本文为您介绍如何在 IDaaS 中配置阿里云用户单点登录。使用角色 SSO,您不必为企业或组织中的每一个成员都创建一个 RAM 子账户。

操作步骤

一、创建应用

  1. 登录 IDaaS管理控制台

  2. 前往 应用-添加应用-应用市场,搜索阿里云角色 SSO 应用模板。点击 添加应用

image.png

  1. 确认应用名称,即可完成添加。

image.png

二、配置应用单点登录

  1. 添加应用后,将自动跳转到应用单点登录配置页,您将在此处进行配置。

image.png

  1. 输入阿里云主账号 id(账号 id 可在 阿里云控制台 首页 - 头像或账号中心获取)。

填写您准备在阿里云创建的身份提供商名称(只允许英文字母、数字、特殊字符.-_,不能以特殊字符开头或结尾),需与步骤三中的一致

选择应用账号名属性,用户进行单点登录时,将以该字段作为主键,对应至阿里云中的子用户,从而实现在阿里云中的登录。

如果仅用于测试,建议 授权范围 选择 全员可访问,以便跳过为 IDaaS 账号分配权限的步骤。

image.png

  1. 应用配置信息 中,下载 IdP 元数据,保存到电脑中。此文件用于建立阿里云对 IDaaS 的信任关系。

image.png

  1. 单点登录-应用账户 中,点击 添加应用账户

image.png

  1. 选择需要使用阿里云角色 SSO 的账户,为其添加应用账户。应用账户名需要和阿里云角色名称完全一致。如果一个 IDaaS 账户对应多个阿里云角色,可以创建多个应用账户。

image.png

三、在阿里云中配置角色 SSO

  1. 登录阿里云 RAM 控制台

  2. 在左侧导航栏中,单击 SSO管理

  3. 角色 SSO 页签 下,可查看当前 SSO 登录设置相关信息。

  4. 点击 创建身份提供商 按钮。

image.png

  1. 填写身份提供商名称(需和步骤二中的身份提供商名称一致),上传步骤二中在 IDaaS 下载的 IdP 元数据,点击确定,完成身份提供商的创建。

image.png

四、在阿里云中配置身份提供商权限

  1. 在左侧导航栏中,单击 身份管理-角色

  2. 点击 创建角色,选择 身份提供商

image.png

  1. 填写角色名称(需和步骤二中的应用账户名一致),选择步骤三中创建的身份提供商,按需填写其他配置,点击完成。

image.png

  1. 此时也完成角色的创建。您可以为您的角色分配权限,通过该角色单点登录到阿里云的 IDaaS 账户都会拥有相同权限。

image.png

五、尝试SSO

您已经可以开始阿里云角色 SSO。

  1. 使用已拥有阿里云角色 SSO 应用权限的 IDaaS 账户,登录到 IDaaS 应用门户页,点击页面上的图标,即可发起单点登录。

image.png

  1. 如果 IDaaS 账户拥有两个或以上的应用账户(阿里云角色),则需要选择一个应用账户进行单点登录。

image.png
  1. 选择合适的应用账户并点击确定,即以角色的身份单点登录至阿里云。

  • 本页导读 (0)
文档反馈