本文提供一个以Okta与阿里云进行角色SSO的示例,帮助您理解企业IdP与阿里云进行SSO的端到端配置流程。

操作流程

本文的配置目标是在Okta应用中创建一个名为approle的属性,并根据这个属性的值来映射访问阿里云的RAM角色。您可以按照下图所示的操作流程完成阿里云、Okta的配置。

流程图

步骤一:在Okta创建支持SAML SSO的应用

  1. 登录Okta门户
  2. 单击页面右上方的账号图标,然后单击Your Org
  3. 在左侧导航栏,选择Applications > Applications
  4. Applications页面,单击Create App Integration
  5. Create a new app integration对话框,单击SAML 2.0,然后单击Next
  6. 配置应用名称为role-sso-test,单击Next
  7. 配置SAML,然后单击Next
    SSO_Okta_SAML settings
    • Single sign on URLhttps://signin.aliyun.com/saml-role/sso
    • Audience URIurn:alibaba:cloudcomputing
    • Default RelayState:用来配置用户登录成功后跳转到的阿里云页面。
      说明 出于安全原因,您只能填写阿里巴巴旗下的域名URL作为Default RelayState的值,例如:*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com,否则配置无效。若不配置,默认跳转到阿里云控制台首页。
    • Name ID format:选择EmailAddress
    • Application username:选择Email
  8. Feedback页面,根据需要选择合适的应用类型,然后单击Finish

步骤二:在Okta获取SAML IdP元数据

  1. 在应用程序role-sso-test详情页,单击Sign On
  2. Settings区域,单击Identity Provider metadata,将IdP元数据另存到本地。

步骤三:在阿里云创建SAML身份提供商

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,单击SSO管理
  3. 角色SSO页签,单击SAML页签,然后单击创建身份提供商
  4. 创建身份提供商页面,输入身份提供商名称(okta-provider)和备注
  5. 元数据文档区域,单击上传文件,上传从步骤二:在Okta获取SAML IdP元数据中获取的IdP元数据。
  6. 单击完成
  7. 单击关闭

步骤四:在阿里云创建RAM角色

  1. 在RAM控制台的左侧导航栏,选择身份管理 > 角色
  2. 角色页面,单击创建角色
  3. 创建角色面板,选择可信实体类型为身份提供商,然后单击下一步
  4. 输入角色名称(admin)和备注
  5. 选择身份提供商类型为SAML
  6. 选择从步骤三:在阿里云创建SAML身份提供商中创建的身份提供商并查看限制条件后,然后单击完成
  7. 单击关闭

步骤五:在Okta配置Profile

  1. 编辑Profile,创建一个新的Attribute。
    1. 在Okta左侧导航栏,选择Directory > Profile Editor
    2. 单击对应Profile后面的edit profile图标。
    3. 单击Add Attribute,填写Attribute信息。
      • Data type:选择string
      • Display name:填写将在用户界面中显示的名称,本示例中请填写approle
      • Variable name:填写将在映射中引用的变量名称,本示例中请填写approle。您需要记录该参数的值,下一步配置Attribute的时候会用到。
      • Description:请根据需要填写属性描述,可以不填写。
      • Enum:选中Define enumerated list of values,定义一个枚举值列表。
        说明 我们使用Enum来确保用户只能使用预定义的属性值。您也可以不使用Enum,而获得更高的灵活性。
      • Attribute members:填写枚举值列表,Value必须要与RAM中创建的角色名称相同,例如:admin、reader。
      • Attribute Length:本示例使用枚举值,因此不需要设置。如果您实际中未使用枚举值,请根据需要设置属性长度。
      • Attribute required:选中Yes
      • Scope:取消选中User personal
    4. 单击Save
  2. 配置Attribute。
    1. 在Okta左侧导航栏,选择Applications > Applications
    2. 单击应用名称role-sso-test。
    3. General页签下的SAML Settings区域,单击Edit
    4. Configure SAML页面的Attribute Statements (optional)区域,配置如下图所示的两条数据。edit Attribute
      • 配置第1条数据:
        • Name:填写https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName
        • Value:选择user.email
      • 配置第2条数据:
        • Name:填写https://www.aliyun.com/SAML-Role/Attributes/Role
        • Value:取值为String.replace("acs:ram::<account_id>:role/$approle,acs:ram::<account_id>:saml-provider/okta-provider", "$approle", appuser.approle),是用登录用户在应用Profile中的approle属性值来替换$approle占位符,从而获取最终的SAML属性值。其中approle是之前在Profile Attribute中定义的属性。okta-provider步骤三:在阿里云创建SAML身份提供商中创建的身份提供商。<account_id>需要替换为您的阿里云账号ID。例如:String.replace("acs:ram::177242285274****:role/$approle,acs:ram::177242285274****:saml-provider/okta-provider", "$approle", appuser.approle)

步骤六:在Okta创建用户并分配应用

  1. 创建用户。
    1. 在Okta左侧导航栏,选择Directory > People
    2. 单击Add Person
    3. Add Person页面,填写基本信息并将Primary email配置为被邀请用户的Email,例如:test@example.com,然后单击Save
    4. 在用户列表中,单击用户test@example.comStatus列的Activate,然后根据页面提示激活test@example.com。
  2. 分配应用。

    分配应用有以下两者方式,请任选其一。

    • 为单个用户分配应用。
      1. 在Okta左侧导航栏,选择Applications > Applications
      2. 单击目标应用名称role-sso-test后,在Assignments页签下,选择Assign > Assign to People
      3. 单击目标用户test@example.com后的Assign
      4. 选择approle为admin。
      5. 单击Save and Go Back
      6. 单击Done
    • 将用户加入组,为组分配应用。
      1. 在Okta左侧导航栏,先选择Directory > Groups,然后单击Add Group,创建一个组。
      2. 单击组名称,然后单击Manage People,添加用户到组中。
      3. 在Okta左侧导航栏,选择Applications > Applications
      4. 单击目标应用名称role-sso-test后,在Assignments页签下,单击Assign > Assign to Groups
      5. 单击目标组后的Assign
      6. 选择approle为admin。
      7. 单击Save and Go Back
      8. 单击Done
      说明 如果一个用户属于多个组,生效的属性值只能有一个,即在应用的Assignments页签下第一个加入的组的相应属性会生效。如果用户所属的组发生变化,则会影响approle的取值。详情请参见Okta用户指南

验证结果

  1. 在Okta左侧导航栏,选择Applications > Applications
  2. 单击应用名称role-sso-test。
  3. General页签下的App Embed Link区域,获取登录URL。App Embed Link
  4. 打开另一个浏览器,输入获取到的URL,用test@example.com登录。
    如果成功跳转到您设置的Default RelayState对应页面(或默认的阿里云控制台首页),则说明登录成功。successful result

(可选)在Okta中配置用户对应的多个角色

如果您需要让用户对应阿里云的多个角色,则必须使用Group Attribute Statement,借助Group Name进行配置。具体的配置方法如下:

  1. 创建多个组。其组名应按照SAML断言中Role Attribute要求的格式,例如:acs:ram::177242285274****:role/admin,acs:ram::177242285274****:saml-provider/okta-provider。add group
  2. 将test@example.com加入多个组。
  3. 在应用的SAML Settings中,删除Role所对应的attribute statement,添加一个Group Attribute Statement,Filter应确保能够过滤出上述组名,例如:Start with acs:ram。group Attribute
  4. 进行上述配置后,再次使用test@example.com登录阿里云时,该用户将会选择登录的角色。Role sign in

关于Okta的相关操作,请参见Okta用户指南