本篇快速入门教程将带您开通IDaaS实例,配置单点登录应用,最后通过IDaaS完成单点登录至阿里云。
免费开通实例
IDaaS 2.0支持免费创建实例,且其中大部分功能均支持免费使用(收费项目请参考产品计费)。
请访问阿里云IDaaS控制台,前往EIAM云身份服务新版2.0的实例列表页。
在实例列表页单击免费创建实例,勾选协议后直接创建即可。
实例创建成功后,单击实例ID或访问控制台,前往IDaaS管理控制台。单击右下方试用,即可开启15天试用。每个实例最多可试用一次。
创建账户
IDaaS是企业的云上账号中心,您可以在IDaaS中管理企业组织架构和各类企业账号,包括产研、运维、人力、销售等各部门人员、临时员工、外包人员等。
IDaaS中的账户,可以通过统一登录体系,访问到所有具备权限的企业应用。
除了手动添加外,IDaaS支持一系列组织和账户的导入方式,请参考:账户数据同步。
手动添加账户
在左侧导航栏选择账户页面,单击创建账户。
请按照表单提示,手动添加您的第一个账户。
恭喜您完成了第一个账户的添加!您已可以通过实例的登录页,登录到账户的访问门户中。实例登录页地址可在账户页面上方查看。
创建应用
应用是IDaaS中承载业务应用、系统、服务的载体。通过应用,可实现到应用的单点登录(SSO),以及和IDaaS应用之间的账户同步。
接下来将以配置阿里云用户SSO应用为例,实现IDaaS账户登录到阿里云控制台。
添加应用
请您单击完成具体操作。
说明IDaaS中预集成了一系列常用企业软件的应用模板,并对其进行了深度配置优化,配置流程简单,支持一键添加。
对于市面上其他应用和自研应用,也可以使用标准协议和自研应用模板进行接入。
应用市场中找到阿里云用户SSO应用模板卡片,单击添加应用,填写您的应用名称后点击立即添加,会自动跳转到对应的应用配置页。
配置单点登录
单点登录(SSO)需要在IDaaS与应用之间进行交互,因此需要在两端完成简单配置。阿里云用户SSO基于SAML 2.0协议,并提供一键式配置方式,帮助您快速完成设置。
配置IDaaS单点登录应用
应用创建完成后,页面会自动跳转到单点登录配置面板,并填充部分默认参数。建议保留默认值,直接单击保存。
在配置页面下方,下载metadata文件,该文件包含所有单点登录配置信息,将在下一步上传至RAM。
在应用授权页签,单击 ,选择给应用授权的账户,单击保存授权。
配置阿里云访问控制RAM
SSO应用创建时,默认选择使用IDaaS账户名作为应用账户,因此请先确认您创建的IDaaS账户名与RAM对应的用户名一致。若没有,请先创建RAM用户。若希望能灵活关联应用账户,请查看配置应用账户。具体操作请单击链接RAM SSO配置页。
请单击链接前往RAM SSO配置页,切换到用户SSO页签,单击编辑。
将SSO功能状态设置为开启,并上传已在IDaaS配置过程中下载的metadata文件。
单击确定按钮后,配置完成。您已经可以使用IDaaS账号单点登录阿里云用户SSO应用。
单点登录结果验证
至此,您已经完成了单点登录相关的所有配置。接下来我们开始验证已经配置好的单点登录应用,是否可以正常完成阿里云登录。
登录门户
实例的门户访问地址可以在快速上手或账户等菜单选项查看,亦可在实例列表页中的用户门户一列查看。
请在浏览器打开门户访问地址,来到IDaaS控制台。
说明IDaaS支持多样登录方式,管理员可以在登录菜单中管理。
请您使用在创建账户步骤中已成功创建的账号,进行登录,来到IDaaS用户门户页。
单点登录
在IDaaS门户中,您可以看到所有管理员配置完成、并为其分配好权限的应用。
单击您的SSO应用,即可发起单点登录跳转请求。
尝试单击阿里云用户 SSO应用,即会在新的标签页中登录至阿里云。