全部产品

IDaaS对接Figma实践

本文是Figma对接文档, 配置SAML SSO 进行单点登录。

一、获取Figma中SAML SSO元数据信息

管理员登录Figma控制台,左侧菜单选择“Admin settings”,右侧展示区选择“Settings”

image.png

在“Login and provisioning”部分中,选择“SMAL SSO”

image.png

获取“SP entity ID”和“SP ACS URL”,供IDaaS配置SMAL应用时使用

image.png

二、IDaas中配置Figma的元数据信息

2.1、添加SAML应用

以IT管理员登录云盾IDaaS管理平台,点击左侧导航栏应用 > 添加应用 在右侧选择一个SAML应用,点击添加应用。

image.png

点击添加SigningKey按钮,输入名称等信息,系统会据此生成应用的证书,私钥保留在IDaaS,公钥导出到SP,用于IDaaS与SP应用通信的签名验签。

image.png

如果没有现成的证书可以选择, 则填写以下信息生成一个,其中的名称信息最好是和这个应用比如Figma关联的,方便将来识别。

image.png

无论是选择已有的还是刚添加的,找到对应的SigningKey,点击“选择”按钮。

image.png

接下来要填写更多的应用信息,名称等信息可以自定义,SP Entity ID、SP ACS URL(SSO Location)等信息从“一、获取Figma中SAML SSO元数据”中复制过来。

image.png

需要填写的主要信息如下:

参数名称

说明

应用名称

所添加应用的名称,可以为任意值,但最好和应用相关。

IDP IdentityId

在IDaaS中设置的认证参数,需要将此参数配置到SP中,可设置为:idaas

SP Entity ID

在SP中设置的Entity ID,需要复制到IDaaS的配置中, 可以在Figma的SMAL SSO中获取

SP ACS URL(SSO Location)

单点登录地址,需要复制到IDaaS的配置中, 可以在Figma的SMAL SSO中获取

NameldFormat

名称标识格式类型,这里以Figma为例

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Binding

默认POST方式发送消息到阿里云控制台

填写完成后提交保存, 如果应用是禁用状态, 可以继续修改重新提交。

2.2、启用应用并且授权

应用配置好以后需要先启用应用,并且将服务授权给一个账户,点击左侧导航栏 应用 > 应用列表 启用该应用并授权给账户。

image.png

IDaaS支持多种方式进行授权,这里以按应用授权账户为例。

image.png

保存后, 这个用户登录就可以看到这个应用了。

2.3、IDaaS关联子账户

一个系统要SSO到另外一个系统,需要使用对方能够识别的子账号进行认证,往往登录到IDaaS的主账户和应用SP的子账户是不一样的,可以使用账号同步(两套系统中的账号信息相同)或者新建子账户进行账号映射的方法。账号映射是指给IDP的账户建立一个SP中已经存在的账户作为子账户,身份认证的时候通过子账户进行认证。例如SP系统中有个账户“test@alibaba-inc.com”,我们想用IDP系统中的“test.sp”账号SSO到SP,则需要给账号“test.sp”新建一个对应的子账户“test@alibaba-inc.com”。这里以Figma演示新建子账户的功能,如下图,Figma中有账户test@alibaba-inc.com。

image.png

IDaaS中新建子账户有两种方式,操作如下:

2.3.1、普通账户申请关联子账户

普通用户登录,点击左侧导航栏 主导航 > 应用子账户 添加应用子账户功能中提交新建子账户申请。由于上一步Figma账户是jingtao.ljt@alibaba-inc.com,所以这里子账户的名称应该填“jingtao.ljt@alibaba-inc.com”。

image.png

登录管理员账户,点击左侧导航栏 其它管理 > 审批中心 审核通过该应用子账户的添加。

image.png

2.3.2、管理员关联子账户

管理员新建子账户不需要审核过程,具体操作为:

登录管理员账户,点击左侧导航栏 应用 > 应用列表 找到添加的应用,点击详情中的查看应用子账户。

image.png

点击添加账户关联,添加子账户。

image.png

输入授权账户(主账户)和子账户,点击保存完成子账户添加。

主账户:登录IDaaS使用账户。

子账户:SP应用中的子账户

三、Figma中配置IDaaS的元数据信息

3.1、获取IDaaS的元数据信息

以IT管理员账号登录云盾IDaaS管理平台,点击左侧导航栏应用 > 应用列表 选择刚才添加的应用,点击查看详情,如下图:

image.png

点击导出SAML元配置文件,将IDaaS的元数据文件保存到本地电脑。

image.png

IDaaS元配置文件示例如下:

image.png

获取上图位置Url地址。(Figma配置IdP SSO target URL使用

导出证书(Figma配置Signing certificate使用):

点击左侧导航栏 应用 > 添加应用 在右侧选择一个SAML应用,点击添加应用。

image.png

image.png

在导出SigningKey页面,勾选“Base64 编码 X.509(.CER)(S)”,保存至本地电脑。

image.png

3.2、Figma中配置元数据信息

管理员登录Figma控制台,左侧菜单选择“Admin settings”,右侧展示区选择“Settings”,在“Login and provisioning”部分中,选择“SMAL SSO”,在配置页面点击“Edit configuration”,编辑配置页面,选择“Other”.

image.png

参数

说明

IDP IdentityId

与IDaaS添加应用时IDP IdentityId保持一致,这里以“idaas”为例

IdP SSO target URL

IdaaS单点登录地址,3.1中获取的元数据信息中的地址

Signing certificate

单点登录的证书,3.1中导入的SigningKey

四、功能演示

4.1 IDP发起SSO

配置完成后, 就可以检查结果了。 授权用户登录IDaaS,点击左侧导航栏 主导航 > 首页 在我的应用中点击该应用进行单点登录,点击应用的图标进行单点登录。

image.png

首次登录,Figma会要求进行一次账户认证,认证完成后进入登录。(只限首次认证登录)

认证成功后登录Figma,然后就可以看到Figma作为SP提供的资源了。

4.2 Figma发起SSO

同样,正确配置后,也支持SP发起,首先找到Figma登录地址,选择“Log in with SAML SSO”。

image.png

在SAML SSO页面输入Figma账户的邮箱地址

image.png

跳转到IDP进行用户认证,只有IDaaS中添加的账户进行登录

image.png

IDP认证通过后,然后就可以看到Figma提供的资源了。