使用AD/LDAP认证登录三方应用

本文介绍如何使用IDaaS实现AD域账号登录三方应用。

场景说明

IDaaS拥有AD域数据同步以及委托认证能力,可以快速实现使用AD/LDAP认证登录数百款应用。

首先将AD账号同步到IDaaS,之后将希望单点的应用对接到IDaaS完成这两步,企业最终实现使用AD域账号登录三方应用。image

说明

本文介绍的场景使用阿里用户SSO作为三方应用,所有IDaaS能力均可免费使用。

落地到实际场景中,是否是免费内容取决于您对接的三方应用是否是免费模板,详情可查看各版本能力项

操作步骤

步骤一、开通IDaaS实例

在正式开始应用配置之前,需要先创建IDaaS实例,请您参考免费开通实例完成创建。

步骤二、AD数据同步到IDaaS

您可以使用AD或者OpenLDAP账户认证登录,认证登录的前提是将对应的账户拉取到IDaaS中来,本文以AD作为示例,实际对接的时候请根据您企业的实情自行选择:

AD账户同步到IDaaS:绑定AD

OpenLDAP账户同步到IDaaS:绑定OpenLDAPimage

重要

请确保委托认证该项功能是打开的状态。

完成同步后,在账户界面即可看到同步完成的账户。

image

步骤三、创建IDaaS应用

创建IDaaS应用,并配置单点登录,本文以阿里云用户SSO为例。

更多阿里云用户SSO配置和用法请参考:阿里云用户SSO

说明

请注意在绑定子账户的时候,需要将导入IDaaS中的AD账户作为IDaaS账户名,应用账户为阿里云子账户前缀。

image

步骤四:授权IDaaS应用

IDaaS应用授权给需要访问该应用的账户,可在单点登录中设置为全员可访问,也可在授权中根据账户或组织授权。只有拥有权限的账户才可访问应用。

image

如果对接的是SAML应用(例如阿里云RAM),可在单点登录中设置应用账户。用户在进行单点登录时,IDaaS会将用户的IDaaS账户名或应用账户名传递给应用,应用根据该参数找到应用内的账户并实现登录,从而实现单点登录。因此,如果应用中有存量账户,请检查能否和IDaaS账户对应;如果无法对应,请提前为用户在应用中创建账户。

更多信息可参考:单点登录通用说明.

步骤五、配置登录方式

  1. IDaaS控制台单击登录image

  2. 开启AD委托认证。image

  3. 设置优先登录方式(可选)

    如果您希望默认使用AD账户登录,可以将优先登录方式设置为邮箱登录方式。image

步骤六:发起单点登录

SP发起

  1. 访问RAM用户登录地址,输入子账户用户名,单击下一步image

  2. 单击使用企业账号登录跳转到IDaaS登录界面。image

  3. 如果设置了优先使用AD登录,则会直接展示输入AD账密界面,如果没有进行设置,请手动切换至AD对应的认证源。image

IDP发起

  1. 访问IDaaS用户门户地址image

  2. 如果设置了优先使用AD登录,则会直接展示输入AD账密界面,如果没有进行设置,请手动切换至AD对应的认证源。image

  3. 登录到IDaaS用户端,单击对应的应用图标登录。image