使用Azure AD进行用户SSO的示例

在阿里云获取SAML服务提供商元数据

1. 使用阿里云账号登录RAM控制台。
2. 在左侧导航栏，单击SSO管理。
3. 在用户SSO页签下，单击SAML服务提供商元数据URL后的复制按钮。
4. 在新的浏览器窗口中打开拷贝的链接，将XML文件另存到本地。
   说明 XML文件保存了阿里云作为一个SAML服务提供商的访问信息。您需要记录该文件中的entityID和Location的值，以便后续在AAD的配置中使用。

在AAD中创建应用

1. 以管理员身份登录Azure门户。
2. 单击主页的图标。
3. 在左侧导航栏，单击Azure Active Directory > 企业应用程序 > 所有应用程序。
4. 单击新建应用程序。
   
5. 在添加应用程序页面，单击非库应用程序。
   
6. 在添加自己的应用程序页面，输入应用名称后，单击添加。
   说明 本例中假设应用名称为AliyunSSODemo。
   

在AAD中配置SAML

1. 单击AliyunSSODemo。
2. 在概述页面，单击单一登录。
   
3. 在选择单一登录方法页面下，单击SAML。
   
4. 在设置SAML单一登录页面进行配置。
   1. 在页面左上角，单击上载元数据文件，选择文件后，单击添加。
      

      说明 此处上传在阿里云获取SAML服务提供商元数据中获取的XML文件。
   2. 单击基本SAML配置区域右上角的图标。
   3. 在基本SAML配置对话框中，将上述XML文件中的entityID和Location分别作为标识符（实体ID）和回复URL（断言使用者服务URL）的值，并将中继状态设置为https://ram.console.aliyun.com，然后单击保存。
   4. 在SAML签名证书区域下的联合元数据XML，单击下载，将XML文件保存到本地。
      

在阿里云创建RAM用户

1. 使用阿里云账号登录RAM控制台。
2. 创建RAM用户（username@{id}.onaliyun.com）。
   说明

   • 请确保用户名前缀username与AAD中的用户名前缀保持一致。本例中假设username为u2。
   • 关于如何创建RAM用户，详情请参见创建RAM用户。

在阿里云开启用户SSO

1. 使用阿里云账号登录RAM控制台。
2. 在左侧导航栏，单击SSO管理。
3. 单击用户SSO。
4. 在SSO登录设置区域，单击 编辑。
5. 在SSO功能状态区域，单击 开启。
   说明 用户SSO是一个全局功能，开启后，所有RAM用户都需要使用SSO登录。 如果您是通过RAM用户配置的，请先保留为关闭状态，您需要先完成RAM用户的创建，以免配置错误导致自己无法登录。您也可以通过主账号进行配置来规避此问题。
6. 单击元数据文档下的 上传文件，上传从在AAD中配置SAML中获取的XML文件。
7. 开启辅助域名开关并配置为u2.onmicrosoft.com。
8. 单击确定。

在AAD创建并分配用户

1. 以管理员身份登录Azure门户。
2. 单击主页的图标。
3. 在左侧导航栏，单击Azure Active Directory > 企业应用程序 > 所有应用程序。
4. 在名称列表下，单击AliyunSSODemo。
5. 在左侧导航栏，单击用户和组。
6. 单击左上角的添加用户。
   
7. 单击用户，从用户列表中选择用户（u2），单击选择。
   
8. 单击分配。

配置验证

1. 以管理员身份登录Azure门户。
2. 单击主页的图标。
3. 在左侧导航栏，单击Azure Active Directory > 企业应用程序 > 所有应用程序。
4. 在名称列表下，单击AliyunSSODemo。
5. 在概述页面，单击单一登录。
6. 在设置SAML单一登录页面单击Test。
7. 在弹出的对话框中，单击作为当前用户登录。
   

如果出现以下页面，表示配置成功。