文档

SAML 2.0 SSO 配置

更新时间:

单点登录流程需要 IDaaS 与应用之间进行交互,所以需要在两端进行配置。

当前文档以 SAML 2.0 标准协议为例进行配置说明。

说明

若您希望了解 IDaaS 中支持的 SSO 协议,请前往:2. 标准协议

IDaaS 侧配置

快捷方式:上传应用配置文件

部分应用在 SSO 配置页面,能够将配置信息 metadata 一键下载,并在 IDaaS 中上传;或提供公开接口,允许 IDaaS 将配置信息拉取过来。

image.png

IDaaS 即可获取到配置 SSO 的所有信息,预填充进表单。无需管理员手动配置,确认保存即可完成。

IDaaS 侧配置字段说明

字段

说明

举例

基本配置(必填)

单点登录地址

ACS URL

应用的 SAML SSO 核心地址,与 IDaaS 交互处理单点登录请求。

https://signin.example.com/1021*****4813/saml/SSO

应用唯一标识

SP Entity ID

应用在 IDaaS 中的标识,通常在应用侧获取,格式通常为应用 URI。若应用侧没有要求,直接复用单点登录地址即可。

https://signin.example.com/1021*****4813/saml/SSO

应用账户

SAML 协议中将应用账户称为 NameID。请参考:SAML 应用账户配置

选择:使用 IDaaS 账户名(Username)

授权范围

请参考:单点登录通用说明

选择:全员可访问

高级配置(选填)

默认跳转地址

Default RelayState

IDP 发起 SSO 登录成功后,应用自动跳转的地址。在 SAML Response 中会在 RelayState 参数中传递,应用读取后实现跳转。

应用内二级菜单页。

http://www.example.com/menu/manage

NameID 格式NameIDFormat

SAML Response 中指定账户标识 NameID 字段格式。很多应用不对 NameIDFormat 进行处理,所以一般无需修改。

选择:1.1 Unspecified

Binding 格式

Binding

Binding 字段指定了双方请求的方式。目前只支持 Redirect - POST,一般无需修改。

选择:Redirect - POST

是否对断言签名

Sign Assertion

IDaaS 会为所有 SAML 请求签名,暂不支持修改。

-

签名算法

Signing Algorithm

签名使用的非对称算法,当前仅支持 RSA-SHA256 算法,一般无需修改。

选择:RSA-SHA256

断言属性

Attribute Statements

在 SAML Response 中,可以将额外用户字段(例如邮箱、显示名等)返回给应用解析。参考 SAML Attribute Statements 值填写规范

-

SSO发起方

用户访问由应用发起,还是支持门户发起。

只允许应用发起

登录发起地址

若【SSO发起方】设置为【支持门户和应用发起】,可填写登录发起地址。门户页访问应用时,IDaaS 会跳转到本地址,应即刻自动向 IDaaS 发起 SAMLRequest 登录请求。

-

应用侧配置

快捷方式:上传 IDaaS 配置文件

为了便于应用侧配置,IDaaS 支持将配置信息一键下载。

image.png

部分应用配置 SSO 时,支持 metadata 信息上传。可将 IDaaS 配置文件上传,或将 metadata 地址填写至应用侧。无需手动配置,即可完成对接。

应用侧配置字段说明

应用侧需要配置 IDaaS 的信息,完成对接。

IDaaS 会在单点登录配置页中,集中展示所有应用侧可能需要使用的信息,方便配置。具体字段说明如下:

字段名称

说明

示例

IDP 唯一标识

IDP Entity ID

IDaaS 在应用中的标识。可能需要将值填写在应用侧 SSO 配置中。

https://xxxxx.aliyunidaas.com

IDP SSO 地址

IDP-init SSO URL

SAML 协议支持 SP 发起单点登录,可能需要填写此地址在应用配置中。

https://xxxxx.aliyunidaas.com.cn/saml/idp/saml1

单点退出地址暂不支持

SLO URL

SAML 协议支持单点登出。若希望实现此功能,需要填写此地址在应用配置中。

-

公钥证书

Certificate

IDaaS 发送的单点登录结果,会自动携带一个电子签名。应用可以使用这里的公钥,对结果验签,确认结果是 IDaaS 发出,确保安全。

-----BEGIN CERTIFICATE-----

MIIDEjCCAfqgAwIBAgIHAYnNmX60izANBgkqhkiG9w0BAQsFADApMRowGAYDVQQD.....

  • 本页导读 (0)
文档反馈