阿里云角色 SSO
本文介绍如何实现阿里云 RAM 角色的 SSO。
本文为您介绍如何在 IDaaS 中配置阿里云用户单点登录。使用角色 SSO,您不必为企业或组织中的每一个成员都创建一个 RAM 子账户。
操作步骤
一、创建应用
登录 IDaaS管理控制台。
前往 应用-添加应用-应用市场,搜索阿里云角色 SSO 应用模板。点击 添加应用。

确认应用名称,即可完成添加。

二、配置应用单点登录
添加应用后,将自动跳转到应用单点登录配置页,您将在此处进行配置。

输入阿里云主账号 id(账号 id 可在 阿里云控制台 首页 - 头像或账号中心获取)。
填写您准备在阿里云创建的身份提供商名称(只允许英文字母、数字、特殊字符.-_,不能以特殊字符开头或结尾),需与步骤三中的一致。
选择应用账号名属性,用户进行单点登录时,将以该字段作为主键,对应至阿里云中的子用户,从而实现在阿里云中的登录。
如果仅用于测试,建议 授权范围 选择 全员可访问,以便跳过为 IDaaS 账号分配权限的步骤。

在 应用配置信息 中,下载 IdP 元数据,保存到电脑中。此文件用于建立阿里云对 IDaaS 的信任关系。

在 单点登录-应用账户 中,点击 添加应用账户。

选择需要使用阿里云角色 SSO 的账户,为其添加应用账户。应用账户名需要和阿里云角色名称完全一致。如果一个 IDaaS 账户对应多个阿里云角色,可以创建多个应用账户。

三、在阿里云中配置角色 SSO
登录阿里云 RAM 控制台。
在左侧导航栏中,单击 SSO管理。
在 角色 SSO 页签 下,可查看当前 SSO 登录设置相关信息。
点击 创建身份提供商 按钮。

填写身份提供商名称(需和步骤二中的身份提供商名称一致),上传步骤二中在 IDaaS 下载的 IdP 元数据,点击确定,完成身份提供商的创建。

四、在阿里云中配置身份提供商权限
在左侧导航栏中,单击 身份管理-角色。
点击 创建角色,选择 身份提供商。

填写角色名称(需和步骤二中的应用账户名一致),选择步骤三中创建的身份提供商,按需填写其他配置,点击完成。

此时也完成角色的创建。您可以为您的角色分配权限,通过该角色单点登录到阿里云的 IDaaS 账户都会拥有相同权限。

五、尝试SSO
您已经可以开始阿里云角色 SSO。
使用已拥有阿里云角色 SSO 应用权限的 IDaaS 账户,登录到 IDaaS 应用门户页,点击页面上的图标,即可发起单点登录。

如果 IDaaS 账户拥有两个或以上的应用账户(阿里云角色),则需要选择一个应用账户进行单点登录。

选择合适的应用账户并点击确定,即以角色的身份单点登录至阿里云。