单点登录概述
云SSO支持基于SAML 2.0的单点登录(SSO登录)。阿里云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过SSO登录,企业员工可以使用IdP中的用户身份直接登录云SSO。云SSO可以一次性配置企业身份管理系统与阿里云的SSO登录,配置方式非常简单。
使用流程
在企业IdP中配置阿里云为可信SAML SP并进行SAML断言属性的配置(
NameID)。不同企业IdP的配置方法不同。具体操作,请参见各企业IdP的帮助文档。
在云SSO中配置企业IdP为可信SAML IdP。
您需要手动配置企业IdP信息或直接上传企业IdP元数据文件。其中手动配置仅能配置单点登录所必须的属性:Entity ID、登录地址和签名证书。如果您需要配置更多IdP信息,请在IdP端生成元数据文件并使用上传元数据的方式进行配置。配置完成后,请启用SSO登录功能。具体操作,请参见管理单点登录。
通过SCIM同步用户或在云SSO中创建IdP的同名用户。
如果IdP中有大量用户,且IdP支持SCIM协议,您可以直接将IdP中的用户同步到云SSO。SCIM同步示例,请参见通过SCIM同步Azure AD用户或用户组的示例和通过SCIM同步Okta用户或用户组的示例。
如果IdP中用户较少,您可以直接在云SSO创建IdP的同名用户,即将SAML断言属性中的
NameID值设置为云SSO用户的用户名。具体操作,请参见创建用户。使用企业IdP的用户SSO登录阿里云。