本文介绍通过基于SAML 2.0的用户SSO,配置相应元数据来建立阿里云对企业身份提供商(IdP)的信任,实现企业IdP通过用户SSO登录阿里云。

背景信息

设置默认域名、域别名或辅助域名可以简化SAML SSO的配置流程。关于如何设置阿里云账号的默认域名或域别名,请参见查看和修改默认域名创建并验证域别名

操作步骤

  1. 阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择集成管理 > SSO管理
  3. 单击用户SSO页签,查看当前SSO登录设置相关信息。
  4. 单击编辑,配置SSO登录设置相关信息。
    • SSO功能状态:选择开启关闭
      说明 该功能只对阿里云账号下的所有RAM用户生效,不会影响阿里云账号的登录。
      • 此功能默认为关闭,此时RAM用户可以使用密码登录,所有SSO设置不生效。
      • 如果选择开启此功能,此时RAM用户密码登录方式将会被关闭,统一跳转到企业IdP登录服务进行身份认证。如果再次关闭,用户密码登录方式自动恢复。
    • 元数据文档:单击上传文件,上传企业IdP提供的元数据文档。
      说明 元数据文档由企业IdP提供,一般为XML格式,包含IdP的登录服务地址以及X.509公钥证书(用于验证IdP所颁发的SAML断言的有效性)。
    • 辅助域名(可选):开启辅助域名开关,可以设置一个辅助域名。
      • 如果设置了辅助域名,SAML断言中的NameID元素将可以使用此辅助域名作为后缀。
      • 如果没有设置辅助域名,SAML断言中的NameID元素将只能使用当前账号的默认域名或域别名作为后缀。

      关于NameID元素的取值,请参见用户SSO的SAML响应

      说明 如果您同时设置了域别名和辅助域名,辅助域名将不会生效。此时,NameID元素只能使用域别名或默认域名作为后缀。
  5. 单击确定

后续步骤

完成SAML配置后,选择以下一种方法创建与企业IdP相匹配的RAM用户:

  • 登录RAM控制台手动创建与企业IdP匹配的RAM用户,详情请参见创建RAM用户
  • 使用RAM SDK编写程序或阿里云CLI来创建RAM用户,详情请参见CreateUser