本文介绍如何使用IDaaS实现AD域账号登录三方应用。
场景说明
IDaaS拥有AD域数据同步以及委托认证能力,可以快速实现使用AD/LDAP认证登录数百款应用。
首先将AD账号同步到IDaaS,之后将希望单点的应用对接到IDaaS。完成这两步,企业最终实现使用AD域账号登录三方应用。
本文介绍的场景使用阿里用户SSO作为三方应用,所有IDaaS能力均可免费使用。
落地到实际场景中,是否是免费内容取决于您对接的三方应用是否是免费模板,详情可查看各版本能力项。
操作步骤
步骤一、开通IDaaS实例
在正式开始应用配置之前,需要先创建IDaaS实例,请您参考免费开通实例完成创建。
步骤二、AD数据同步到IDaaS
您可以使用AD或者OpenLDAP账户认证登录,认证登录的前提是将对应的账户拉取到IDaaS中来,本文以AD作为示例,实际对接的时候请根据您企业的实情自行选择:
将AD账户同步到IDaaS:绑定AD
将OpenLDAP账户同步到IDaaS:绑定OpenLDAP
请确保委托认证该项功能是打开的状态。
完成同步后,在账户界面即可看到同步完成的账户。
步骤三、创建IDaaS应用
创建IDaaS应用,并配置单点登录,本文以阿里云用户SSO为例。
更多阿里云用户SSO配置和用法请参考:阿里云用户SSO
请注意在绑定子账户的时候,需要将导入IDaaS中的AD账户作为IDaaS账户名,应用账户为阿里云子账户前缀。
步骤四:授权IDaaS应用
将IDaaS应用授权给需要访问该应用的账户,可在单点登录中设置为全员可访问,也可在授权中根据账户或组织授权。只有拥有权限的账户才可访问应用。
如果对接的是SAML应用(例如阿里云RAM),可在单点登录中设置应用账户。用户在进行单点登录时,IDaaS会将用户的IDaaS账户名或应用账户名传递给应用,应用根据该参数找到应用内的账户并实现登录,从而实现单点登录。因此,如果应用中有存量账户,请检查能否和IDaaS账户对应;如果无法对应,请提前为用户在应用中创建账户。
更多信息可参考:单点登录通用说明.
步骤五、配置登录方式
在IDaaS控制台单击登录。
开启AD委托认证。
设置优先登录方式(可选)
如果您希望默认使用AD账户登录,可以将优先登录方式设置为邮箱登录方式。
步骤六:发起单点登录
SP发起
访问RAM用户登录地址,输入子账户用户名,单击下一步。
单击使用企业账号登录跳转到IDaaS登录界面。
如果设置了优先使用AD登录,则会直接展示输入AD账密界面,如果没有进行设置,请手动切换至AD对应的认证源。
IDP发起
访问IDaaS用户门户地址
如果设置了优先使用AD登录,则会直接展示输入AD账密界面,如果没有进行设置,请手动切换至AD对应的认证源。
登录到IDaaS用户端,单击对应的应用图标登录。