本文提供一个以Azure AD(Azure Active Directory,以下简称 AAD)与阿里云进行用户SSO的示例,帮助您理解企业IdP与阿里云进行SSO的端到端配置流程。
背景信息
在本示例中,企业拥有一个阿里云账号和一个Azure AD租户。在Azure AD租户中,您有一个管理员用户(已授予全局管理员权限)和一个企业员工用户(u2)。您希望经过配置,使企业员工用户(u2)可以通过RAM用户身份直接访问阿里云。
您需要通过管理员用户(已授予全局管理员权限)执行本示例AAD中的操作。关于如何在AAD中创建用户和为用户授权,请参见AAD文档。
步骤1:在阿里云获取SAML服务提供商元数据
步骤2:在AAD中创建应用
- 管理员用户登录Azure门户。
- 单击主页的
图标。
- 在左侧导航栏,选择 。
- 单击新建应用程序。
- 在浏览Azure AD库(预览)页面,单击创建你自己的应用程序。
- 在创建你自己的应用程序页面,输入应用名称(例如:AliyunSSODemo),并选择集成库中未发现的任何其他应用程序,然后单击创建。
步骤3:在AAD中配置SAML
- 在AliyunSSODemo页面,单击左侧导航栏的单一登录。
- 在选择单一登录方法页面下,单击SAML。
- 在设置SAML单一登录页面进行以下配置。
步骤4:在AAD分配用户
步骤5:在阿里云创建RAM用户
步骤6:在阿里云开启用户SSO
配置验证
- 从阿里云侧发起登录
- 在RAM控制台的概览页,复制RAM用户的登录地址。
- 将鼠标悬停在右上角头像的位置,单击退出登录或使用新的浏览器打开复制的RAM登录地址。
- 单击使用企业账号登录,系统会自动跳转到AAD的登录页面。
- 使用用户(u2)登录。
系统将自动单点登录并重定向到您指定的中继状态页面。如果未指定中继状态或超出允许范围,则系统会访问如下阿里云控制台首页。
- 从AAD侧发起登录
- 获取用户访问URL
- 管理员用户登录Azure门户。
- 单击主页的
图标。
- 在左侧导航栏,单击 。
- 单击应用程序AliyunSSODemo。
- 在左侧导航栏,单击属性,获取用户访问URL。
用户访问URL是用户直接从其浏览器访问此应用程序的链接。
- 用户(u2)从管理员用户处获取上述用户访问URL在浏览器中输入该URL,使用自己的账号登录。
系统将自动单点登录并重定向到您指定的中继状态页面。如果未指定中继状态或超出允许范围,则系统会访问如下阿里云控制台首页。
- 获取用户访问URL
在文档使用中是否遇到以下问题
更多建议
匿名提交