单点登录通用说明

本文档介绍单点登录的通用说明。

若您希望实现单点登录(SSO),首先需要完成单点登录配置。

本篇文档说明以下通用的单点登录配置,每个应用均需选择:

  • 单点登录状态

  • 应用账户

  • 授权范围

详细配置步骤,针对不同应用模板类型,请参考文档:

应用模板类型

协议

参考文档

应用市场预集成模板

SAML 2.0

3. 创建应用

标准协议 - SAML

SAML 2.0

SAML 2.0 SSO 配置

标准协议 - OIDC

OIDC

OIDC SSO 配置

自研应用

OIDC

自研应用 SSO 配置

单点登录状态

image.png

应用开通后,所有功能均处于禁用状态。为了配置方便,前端会自动将单点登录状态变更到【启用】,您仍需要点击保存,状态才会真正变更。

关闭单点登录功能的应用,将不会显示在用户门户中。

应用账户

应用账户指的是用户在应用中的标识。当用户发起单点登录到应用时,IDaaS 会将应用账户传递给应用,应用会将该账户调整为登录状态,从而实现单点登录。

因此,如果应用中有存量账户,请检查这些账户能否和 IDaaS 中的账户对应;如果无法对应,请提前为用户在应用中批量同步或手动创建账户。

对于 SAML 应用,您可以在应用中设置应用账户的规则,参考文档:SAML 应用账户配置

image

对于 OIDC 应用或自研应用,IDaaS 会在 id_tokn 中传递相关的值,参考文档:OIDC id_token 扩展值填写规范

授权范围

image.png

规范应用的可使用人群范围,有以下两个选项:

选项

说明

全员可访问

在 IDaaS 中的所有账户,均可访问该应用,无需额外授权。

手动授权

需要在应用的【应用授权】标签中,手动分配可访问应用的组织和账户。详情参考 应用授权

阿里云首页 应用身份服务 (IDaaS) 相关技术圈