本文介绍如何通过IDaaS EIAM与腾讯云CAM(Cloud Access Management)集成,实现基于用户组的自动角色SSO功能。该方案无需应用账号配置,管理员仅需将用户加入指定组后,用户即可通过SAML协议对应角色,登录腾讯云控制台。
前提条件
已开通IDaaS EIAM服务并创建实例。
可正常访问腾讯云CAM控制台和IDaaS EIAM门户。
拥有腾讯云账号及管理员权限。
已获取腾讯云主账号ID(可在腾讯云首页账户中心查看)。
配置流程
一、基础配置
在IDaaS侧,创建SAML应用。
登录IDaaS控制台,选择对应的IDaaS实例,单击操作列的访问控制台。
单击,添加SAML 2.0应用 。
输入应用名称后,单击立即添加。
获取腾讯云SAML元数据。
下载并保存腾讯云联合元数据 XML文档或复制此链接
http://cloud.tencent.com/saml.xml。在SAML 2.0应用配置页面中,将腾讯云联合元数据 URL粘贴至请输入应用 metadata 地址处,单击解析按钮完成配置。
下载IdP 元数据文件,用于上传至腾讯云访问管理CAM身份提供商页面。
二、角色配置
在腾讯云侧,创建SAML身份提供商。
登录腾讯云CAM控制台,进入。
单击新建身份提供商,选择提供商类型为SAML,输入身份提供商名称(如 idaas-saml-standard)。
上传从IDaaS下载的IdP 元数据文件,单击下一步完成创建。
创建角色。
在CAM控制台,导航至,选择身份提供商。
选择身份提供商类型为SAML,选择上一步创建的身份提供商
idaas-saml-standard,勾选允许当前角色访问控制台。
根据实际需求选择角色策略并配置角色标签,然后单击下一步。
输入角色名称(如 role1),单击完成。
三、用户组配置
在IDaaS侧创建用户。登录IDaaS控制台,进入,新建用户(如 emp001)。
在IDaaS侧创建组。进入。
输入组名称 (group01),填写外部ID (role1)。
重要外部ID和腾讯云 CAM 创建的角色名称必须保持一致。
将创建的用户(emp001) 添加至创建的组(group01)。
应用授权。
在IDaaS的SAML 2.0应用详情页,进入。
为组(group01)授权该SAML应用。
四、高级SAML配置
进入SAML 2.0应用详情页的显示高级配置,添加以下断言属性:
断言属性1:角色映射
Key:
https://cloud.tencent.com/SAML/Attributes/RoleValue:
SamlArray(ArrayMap(user.groups, StringReplace("qcs::cam::uin/{AccountID}:roleName/{RoleName},qcs::cam::uin/{AccountID}:saml-provider/{ProviderName} ", "$roleName", __item.groupExternalId)))说明{AccountID}替换为您的腾讯云主账户 ID。{RoleName}替换您在腾讯云为身份提供商所创建的角色名称。{ProviderName}替换您在腾讯云创建的 SAML 身份提供商名称。
断言属性2:会话名称
Key:
https://cloud.tencent.com/SAML/Attributes/RoleSessionNameValue:
user.username
五、验证配置
登录IDaaS EIAM门户,使用创建的用户(emp001)访问SAML 2.0应用。
系统将自动跳转至腾讯云控制台,进入角色选择界面。选择角色(role1)完成登录。
通过IDaaS用户组管理功能,您可批量配置SSO权限,实现以下优势:
权限集中管理:通过组维度统一控制角色映射关系,将目标账户添加至预设用户组(如group01)即可继承该组的SAML应用访问权限,无需为每个账户单独配置。
快速扩展性:新增用户时仅需将其加入对应业务组,即可自动继承组内所有SAML授权策略,显著提升大规模用户管理效率。
降低配置复杂度:避免重复创建相似的个体账户授权策略,通过组级配置简化操作流程,减少人为配置错误风险。
保障权限一致性:确保组内所有成员遵循相同的SAML断言规则,包括角色映射(RoleSessionName)和会话属性,保障权限执行标准统一。