阿里云用户 SSO

本文介绍如何实现阿里云 RAM 用户 SSO。

本文为您介绍如何在 IDaaS 中配置阿里云用户单点登录。使用用户SSO,您的企业成员将以 RAM 用户访问阿里云。

操作步骤

一、创建应用

  1. 登录 IDaaS管理控制台

  2. 前往 应用-添加应用-应用市场,搜索到阿里云用户 SSO 应用模板。点击 添加应用

image.png

  1. 确认应用名称,即可完成添加。

image.png

二、配置应用单点登录

  1. 添加应用后,将自动跳转到应用单点登录配置页,您将在此处进行配置。

image.png

  1. 输入阿里云主账号 id(账号 id 可在 阿里云控制台 首页-头像或账号中心获取)。选择应用账号名属性,用户进行单点登录时,将以该字段作为主键,对应至阿里云中的 RAM 用户,从而实现在阿里云中的登录。如果仅用于测试,建议 授权范围 选择 全员可访问,暂时跳过为 IDaaS 账号分配权限的步骤。

image.png
  1. 应用配置信息 中,下载 IdP 元数据,保存到电脑中。此文件用于建立阿里云对 IDaaS 的信任关系。

image.png

三、在阿里云中配置用户 SSO

  1. 登录阿里云 RAM 控制台

  2. 在左侧导航栏中,单击 SSO管理

  3. 用户 SSO 页签 下,可查看当前 SSO 登录设置相关信息。

  4. 点击编辑,开启 SSO 功能状态,上传步骤二中在 IDaaS 下载的 IdP 元数据,无需开启辅助域名。

  5. 点击确定,即可完成配置。

image.png

四、在阿里云中配置子用户权限(可选)

您可能拥有存量的阿里云子用户,或希望将 IDaaS 中账户同步至阿里云(详见文档:账户同步),此时请按需在左侧菜单栏的 用户 中为用户分配权限,以便用户拥有恰当的权限访问阿里云的资源。如果仅为了测试单点登录能力,请忽略此步骤。

image.png

五、尝试SSO

您已经可以开始阿里云用户 SSO。有如下两种发起模式。

  1. 从 IDaaS 发起(IdP发起):使用已拥有阿里云用户 SSO 应用权限的 IDaaS 账户,登录到 IDaaS 应用门户页,点击页面上的图标,即可发起单点登录,成功登录至阿里云。

image.png

  1. 从阿里云发起(SP发起):使用匿名浏览器,打开阿里云登录页,点击下方 RAM用户登录,输入阿里云用户名并点击 下一步 按钮。

image.pngimage.png
  1. 此时将出现提示页面,点击 使用企业账号登录 按钮或复制登录链接,如果您已登录 IDaaS 应用门户,则可直接登录至阿里云;否则将跳转至 IDaaS 的登录页,在 IDaaS 中完成登录后自动完成阿里云的登录。

image.png

阿里云首页 应用身份服务 相关技术圈