阿里云-云效 SSO

本文为您介绍如何在IDaaS中配置阿里云-云效单点登录。使用阿里云-云效SSO,您的企业成员将以RAM用户访问阿里云-云效。

操作步骤

重要

由于阿里云-云效SSO基于阿里云用户SSO实现,且每个阿里云账号仅支持配置一个用户SSO身份提供商,因此通过IDaaS配置云效SSO后,用户将需要通过该IDaaS实例才可用户SSO访问对应的阿里云账号中的资源。

如果您的阿里云账号正在使用用户SSO,请谨慎评估和调整配置(如:使用非生产账号测试、确认生产账号没有使用用户SSO能力),以避免影响正常使用。

一、创建应用

  1. 登录IDaaS管理控制台

  2. 选择IDaaS实例并在操作区域下方单击访问控制台

image

  1. 前往应用 > 添加应用 > 应用市场,搜索到阿里云-云效 SSO应用模板。单击添加应用

    image

  2. 确认应用名称,即可立即添加

    image

二、配置应用单点登录

  1. 添加应用后,将自动跳转到应用单点登录配置页,您将在此处进行配置。

    image

  2. 输入阿里云主账号ID可单击阿里云控制台首页 > 账号中心页面右上角头像处获取。选择应用账号名属性,用户进行单点登录时,将以该字段作为主键,对应至阿里云中的 RAM用户,从而实现在阿里云-云效中的登录。如果仅用于测试,建议授权范围选择全员可访问,暂时跳过为IDaaS账号分配权限的步骤。

    image

  1. 应用配置信息中,下载IdP 元数据,保存到电脑中。此文件用于建立阿里云对IDaaS的信任关系。

    image

  1. 如果您IDaaS账户名与RAM用户名( RAM子账户前缀)一致,应用账户处可选择IDaaS账户名

    image

    如果您IDaaS账户名与RAM用户名不一致, 应用账户处选择应用账户 ,在应用账户界面绑定对应的账户关系,选择单点登录的IDaaS账户,填写RAM用户名前缀。

    image

三、在阿里云中配置用户SSO

  1. 登录阿里云 RAM控制台

  2. 在左侧导航栏中,单击SSO管理。

  3. 在用户 SSO页签下,可查看当前SSO登录设置相关信息。

  4. 单击编辑开启SSO 功能状态,上传步骤二中在IDaaS下载的IdP 元数据,无需开启辅助域名。

  5. 单击确定,即可完成配置。

image

四、尝试SSO

您已经可以使用阿里云-云效SSO。有如下两种发起模式。

  1. IDaaS发起(IdP发起):使用已拥有阿里云-云效SSO应用权限的IDaaS账户,登录到IDaaS应用门户页,单击页面上的图标,即可发起单点登录,成功登录至阿里云-云效。

image

  1. 从阿里云-云效发起(SP发起):使用匿名浏览器,访问云效地址,自动跳转到阿里云登录页,单击下方RAM用户,输入阿里云用户名并单击下一步。

image

  1. 此时将出现提示页面,单击使用企业账号登录或复制登录链接,如果您已登录IDaaS应用门户,则可直接登录至阿里云-云效;否则将跳转至IDaaS的登录页,在IDaaS中完成登录后自动完成阿里云-云效的登录。

image