本文提供一个以Azure AD(Azure Active Directory,以下简称 AAD)与阿里云进行用户SSO的示例,帮助您理解企业IdP与阿里云进行SSO的端到端配置流程。

前提条件

  • 进行操作前,请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册
  • 进行操作前,请确保您已经拥有AAD的账号。

在阿里云获取SAML服务提供商元数据

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,单击SSO管理
  3. 用户SSO页签下,单击SAML服务提供商元数据URL后的复制按钮。
  4. 在新的浏览器窗口中打开拷贝的链接,将XML文件另存到本地。
    说明 XML文件保存了阿里云作为一个SAML服务提供商的访问信息。您需要记录该文件中的entityIDLocation的值,以便后续在AAD的配置中使用。

在AAD中创建应用

  1. 以管理员身份登录Azure门户
  2. 单击主页的SSO_AAD_icon图标。
  3. 在左侧导航栏,单击Azure Active Directory > 企业应用程序 > 所有应用程序
  4. 单击新建应用程序
    新建应用程序
  5. 添加应用程序页面,单击非库应用程序
    SSO_AAD_Application
  6. 添加自己的应用程序页面,输入应用名称后,单击添加
    说明 本例中假设应用名称为AliyunSSODemo。
    SSO_AAD_Name

在AAD中配置SAML

  1. 单击AliyunSSODemo。
  2. 概述页面,单击单一登录
    SSO_AAD_SAML
  3. 选择单一登录方法页面下,单击SAML
    SAML
  4. 设置SAML单一登录页面进行配置。
    1. 在页面左上角,单击上载元数据文件,选择文件后,单击添加
      上传元数据文件
      说明 此处上传在阿里云获取SAML服务提供商元数据中获取的XML文件。
    2. 单击基本SAML配置区域右上角的编辑图标。
    3. 基本SAML配置对话框中,将上述XML文件中的entityIDLocation分别作为标识符(实体ID)回复URL(断言使用者服务URL)的值,并将中继状态设置为https://ram.console.aliyun.com,然后单击保存
    4. SAML签名证书区域下的联合元数据XML,单击下载,将XML文件保存到本地。
      下载联合元数据XML

在阿里云创建RAM用户

  1. 使用阿里云账号登录RAM控制台
  2. 创建RAM用户(username@{id}.onaliyun.com)。
    说明
    • 请确保用户名前缀username与AAD中的用户名前缀保持一致。本例中假设username为u2。
    • 关于如何创建RAM用户,详情请参见创建RAM用户

在阿里云开启用户SSO

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,单击SSO管理
  3. 单击用户SSO
  4. SSO登录设置区域,单击 编辑
  5. SSO功能状态区域,单击 开启
    说明 用户SSO是一个全局功能,开启后,所有RAM用户都需要使用SSO登录。 如果您是通过RAM用户配置的,请先保留为关闭状态,您需要先完成RAM用户的创建,以免配置错误导致自己无法登录。您也可以通过主账号进行配置来规避此问题。
  6. 单击元数据文档下的 上传文件,上传从在AAD中配置SAML中获取的XML文件。
  7. 开启辅助域名开关并配置为u2.onmicrosoft.com。
  8. 单击确定

在AAD创建并分配用户

  1. 以管理员身份登录Azure门户
  2. 单击主页的SSO_AAD_icon图标。
  3. 在左侧导航栏,单击Azure Active Directory > 企业应用程序 > 所有应用程序
  4. 名称列表下,单击AliyunSSODemo
  5. 在左侧导航栏,单击用户和组
  6. 单击左上角的添加用户
    添加用户
  7. 单击用户,从用户列表中选择用户(u2),单击选择
    选择用户
  8. 单击分配

配置验证

  1. 以管理员身份登录Azure门户
  2. 单击主页的SSO_AAD_icon图标。
  3. 在左侧导航栏,单击Azure Active Directory > 企业应用程序 > 所有应用程序
  4. 名称列表下,单击AliyunSSODemo
  5. 概述页面,单击单一登录
  6. 设置SAML单一登录页面单击Testtest
  7. 在弹出的对话框中,单击作为当前用户登录
    作为当前用户登录

如果出现以下页面,表示配置成功。

SSO_Okta配置验证