本文介绍通过基于 SAML 2.0 的用户 SSO,配置相应元数据来建立阿里云对企业身份提供商(IdP)的信任,实现企业 IdP 通过用户 SSO 登录阿里云。

前提条件

设置默认域名、域别名或辅助域名可以简化 SAML SSO 的配置流程。关于如何设置阿里云账号的默认域名或域别名,请参考:管理默认域名创建域别名

操作步骤

  1. 登录 RAM 控制台
  2. 在左侧导航栏,单击 SSO 管理
  3. 用户 SSO页签下,可查看当前 SSO 登录设置相关信息。
  4. 单击编辑,可以配置 SSO 登录设置相关信息,包括选择 SSO 功能状态、上传元数据文档和设置辅助域名。
    • SSO 功能状态:可以选择开启关闭
      说明 该功能只对云账号下的所有 RAM 用户生效,不会影响云账号的登录。
      • 此功能默认为关闭,此时 RAM 用户可以使用密码登录,所有 SSO 设置不生效。
      • 如果选择开启此功能,此时 RAM 用户密码登录方式将会被关闭,统一跳转到企业 IdP 登录服务进行身份认证。如果再次关闭,用户密码登录方式自动恢复。
    • 元数据文档:单击上传文件,上传企业 IdP 提供的元数据文档。
      说明 元数据文档由企业 IdP 提供,一般为 XML 格式,包含 IdP 的登录服务地址以及 X.509 公钥证书(用于验证 IdP 所颁发的 SAML 断言的有效性)。
    • 辅助域名(可选):开启辅助域名开关,可以设置一个辅助域名。
      • 如果设置了辅助域名,SAML 断言中的 NameID 元素将可以使用此辅助域名作为后缀。
      • 如果没有设置辅助域名,SAML 断言中的 NameID 元素将只能使用当前账号的默认域名或域别名作为后缀。

      关于 NameID 元素的取值,请参考:进行用户 SSO 时企业 IdP 的 SAML 配置

      说明 如果您同时设置了域别名和辅助域名,辅助域名将不会生效。此时,NameID 元素只能使用域别名或默认域名作为后缀。

下一步

完成 SAML 配置后,选择以下一种方法,将企业 IdP 中的用户数据迁移或同步到阿里云 RAM:
  • 登录 RAM 控制台手动创建与企业 IdP 匹配的 RAM 用户。
  • 使用 RAM SDK 编写程序或基于阿里云 CLI 来定制解决方案。