阿里云角色 SSO

本文为您介绍如何在 IDaaS 中配置阿里云用户单点登录。使用角色 SSO，您不必为企业或组织中的每一个成员都创建一个 RAM 子账户。

​

操作步骤

一、创建应用

1. 登录 IDaaS管理控制台。

2. 前往 应用-添加应用-应用市场，搜索阿里云角色 SSO 应用模板。点击 添加应用。

3. 确认应用名称，即可完成添加。

​

二、配置应用单点登录

1. 添加应用后，将自动跳转到应用单点登录配置页，您将在此处进行配置。

2. 输入阿里云主账号 id（账号 id 可在 阿里云控制台 首页 - 头像或账号中心获取）。

填写您准备在阿里云创建的身份提供商名称（只允许英文字母、数字、特殊字符.-_，不能以特殊字符开头或结尾），需与步骤三中的一致。

选择应用账号名属性，用户进行单点登录时，将以该字段作为主键，对应至阿里云中的子用户，从而实现在阿里云中的登录。

如果仅用于测试，建议 授权范围 选择 全员可访问，以便跳过为 IDaaS 账号分配权限的步骤。

3. 在 应用配置信息 中，下载 IdP 元数据，保存到电脑中。此文件用于建立阿里云对 IDaaS 的信任关系。

4. 在 单点登录-应用账户 中，点击 添加应用账户。

5. 选择需要使用阿里云角色 SSO 的账户，为其添加应用账户。应用账户名需要和阿里云角色名称完全一致。如果一个 IDaaS 账户对应多个阿里云角色，可以创建多个应用账户。

三、在阿里云中配置角色 SSO

1. 登录阿里云 RAM 控制台。

2. 在左侧导航栏中，单击 SSO管理。

3. 在 角色 SSO 页签 下，可查看当前 SSO 登录设置相关信息。

4. 点击 创建身份提供商 按钮。

5. 填写身份提供商名称（需和步骤二中的身份提供商名称一致），上传步骤二中在 IDaaS 下载的 IdP 元数据，点击确定，完成身份提供商的创建。

四、在阿里云中配置身份提供商权限

1. 在左侧导航栏中，单击 身份管理-角色。

2. 点击 创建角色，选择 身份提供商。

3. 填写角色名称（需和步骤二中的应用账户名一致），选择步骤三中创建的身份提供商，按需填写其他配置，点击完成。

4. 此时也完成角色的创建。您可以为您的角色分配权限，通过该角色单点登录到阿里云的 IDaaS 账户都会拥有相同权限。

五、尝试SSO

您已经可以开始阿里云角色 SSO。

1. 使用已拥有阿里云角色 SSO 应用权限的 IDaaS 账户，登录到 IDaaS 应用门户页，点击页面上的图标，即可发起单点登录。

2. 如果 IDaaS 账户拥有两个或以上的应用账户（阿里云角色），则需要选择一个应用账户进行单点登录。

3. 选择合适的应用账户并点击确定，即以角色的身份单点登录至阿里云。

​

​