将PingIdentity作为身份提供商配置单点登录-云SSO-阿里云

本文为您提供PingIdentity与云SSO进行单点登录（SSO登录）的示例。

背景信息

假设企业使用PingIdentity作为身份提供商（IdP）管理用户，并已在阿里云资源目录（RD）中搭建多账号体系结构。企业希望经过配置，使PingIdentity中的用户通过SSO登录的方式访问资源目录指定成员账号中的指定资源。

说明

本文中涉及的PingIdentity配置部分属于建议，仅用于帮助理解阿里云SSO登录的端到端配置流程，阿里云不提供PingIdentity配置的咨询服务。

登录 PingIdentity 门户，进入 Console 控制台
在左侧导航栏，选择 Enviroments .
在 Envrioments 页面，创建新的Environment，所选 Cloud Service 须包含 PingOne SSO 。
进入新的 Environment，在左侧导航栏，选择 Applications -> Applications。
在Applications 页面，单击 + 号按钮新建一个 Application
1. 在下方 Application Type 栏选择 SAML Application，配置应用程序信息。
2. 在 SAML Configuration 页面，选择 Import Metadata 上传在步骤一中获得的 SP元数据文档。或者选择 Manual Enter，在 ACS URL 中填入从步骤一中获取的 ACS URL 值，在 Entity ID 中填入从步骤一中获取的 Entity ID 值。
单击 Save 进行保存。

在 Application 页面选中在步骤二中创建的 Application，在 Overview 页签下方点击 Download Metadata 下载保存元数据文件。

如果没有用户，需要先创建用户。
1. 在左侧导航栏，选择 Directory -> Users
2. 在Users页面新建User，并分配合适的Groups。
（可选）在 Application 页面选中在步骤二中创建的 Application，在 Access 页签为 Application 设置Group Membership Policy。若设置了 Group Membership Policy，在列表外的用户组或不在任何用户组内的用户都无法登录云SSO。

从PingIdentity 同步用户到云SSO，或者在云SSO创建同名用户。具体如下：

如果您计划用户SSO登录后访问资源目录指定成员账号中的指定资源，您还需要创建访问配置，并为用户在RD账号上授权。

完成上述配置后，您可以从阿里云或 PingIdentity 发起SSO登录。

从阿里云发起SSO登录。
1. 在云SSO控制台的概览页，复制用户登录地址。
2. 使用新的浏览器打开复制的用户登录地址。
3. 单击跳转，系统会自动跳转到PingIdentity的登录页面
4. 使用PingIdentity 用户名和密码登录。系统将自动SSO登录并重定向到您指定的Default RelayState页面。本示例中未指定Default RelayState，系统会访问云SSO用户门户。
从PingIdentity发起SSO登录。
1. 在Applications页面选中步骤二中创建的Application，在Overview页签下方复制Initiate Single Sign-On URL。
2. 使用新的浏览器打开复制的登录地址。
3. 使用PingIdentity的用户名和密码登录。系统将自动SSO登录并重定向到您指定的Default RelayState页面。本示例中未指定Default RelayState，系统会访问云SSO用户门户。