3. 创建应用
应用是 IDaaS 中承载业务应用、系统、服务的载体。通过应用,可实现到应用的单点登录(SSO)以及和 IDaaS 应用之间的账户同步。
本文将以配置【阿里云用户 SSO】应用为例,实现 IDaaS 账户登录到阿里云控制台。
添加应用
请您前往【应用】菜单,点击【添加应用】,来到【应用市场】。
IDaaS 中预集成了一系列常用企业软件应用模板,进行了深度配置优化,可一键添加,配置简单。
对于市面上其他应用和自研应用,可以使用【标准协议】和【自研应用】模板进行接入。
【阿里云用户 SSO】应用是市场中的第一个,点击添加应用,确认应用名称后,会自动跳转到配置页。
配置单点登录
单点登录(SSO)流程需要 IDaaS 与应用之间进行交互,需要在两端进行简单配置。
【阿里云用户 SSO】背后使用 SAML 2.0 协议,SAML 2.0 有十余个常用参数可配置,较为繁琐。而 IDaaS 为您提供了一键式配置方式,配置难度接近于无。
在 IDaaS 中的配置
开通应用后,页面会跳转到单点登录配置页,并将所有参数填充好。
请参考字段说明:
字段名 | 说明 |
阿里云主账号 ID | 配置单点登录到阿里云指定主账号下。 |
应用账户 | 设定单点登录时使用的账户标识。 默认使用:IDaaS 账户名。详细说明请参考:SAML 应用账户配置。 |
授权范围 | 设定哪些账户可访问当前应用。 默认使用:手动授权。详细说明请参考:单点登录通用说明。 |
RAM 默认域名 | 一般无需填写。当 RAM 中配置了辅助域名时才需填写。 |
出于快速上手的目的,当前我们建议无需修改,直接点击保存。
在页面下方,有【应用配置信息】章节,请直接在其中【下载 metadata】文件。文件中包含了所有单点登录配置信息,下一步中在 RAM 中上传即可。
在访问控制 RAM 中的配置
前提:由于上一步中默认选择使用 IDaaS 账户名作为应用账户,请先确认第 2 步创建的 IDaaS 账户名与 RAM 对应的用户名一致。若没有,请先创建 RAM 用户。若希望能灵活关联应用账户,请查看配置应用账户。
请点击链接前往 RAM SSO 配置页,切换到【用户 SSO】标签,点击编辑。
将 SSO 功能开启,并上传刚才在 IDaaS 配置过程中下载的文件。
点击【确定】后,配置完成。您已经可以使用 IDaaS 账号单点登录 【阿里云用户 SSO 】应用。
下一步引导您体验单点登录。请前往最后一步: 4. 首次单点登录!。