本文为您介绍如何在IDaaS中配置阿里云-云效单点登录。使用阿里云-云效SSO,您的企业成员将以RAM用户访问阿里云-云效。
操作步骤
由于阿里云-云效 SSO 基于阿里云用户 SSO 实现,且每个阿里云账号仅支持配置一个用户 SSO 身份提供商,因此通过 IDaaS 配置云效 SSO 后,用户将需要通过该 IDaaS 实例才可用户 SSO 访问对应的阿里云账号中的资源。
如果您的阿里云账号正在使用用户SSO,请谨慎评估和调整配置(如:使用非生产账号测试、确认生产账号没有使用用户 SSO 能力),以避免影响正常使用。
一、创建应用
登录IDaaS管理控制台。
选择IDaaS实例并在操作区域下方单击访问控制台。
前往,搜索到阿里云-云效 SSO应用模板。单击添加应用。
确认应用名称,即可立即添加。
二、配置应用单点登录
添加应用后,将自动跳转到应用单点登录配置页,您将在此处进行配置。
输入阿里云主账号id可单击页面右上角头像处获取。选择应用账号名属性,用户进行单点登录时,将以该字段作为主键,对应至阿里云中的 RAM用户,从而实现在阿里云-云效中的登录。如果仅用于测试,建议授权范围选择全员可访问,暂时跳过为IDaaS账号分配权限的步骤。
在应用配置信息中,下载IdP 元数据,保存到电脑中。此文件用于建立阿里云对IDaaS的信任关系。
如果您IDaaS账户名与RAM用户名( RAM子账户前缀)一致,应用账户处可选择IDaaS账户名 。
如果您IDaaS账户名与RAM用户名不一致, 应用账户处选择应用账户 ,在应用账户界面绑定对应的账户关系,选择单点登录的IDaaS账户,填写RAM用户名前缀。
三、在阿里云中配置用户SSO
登录阿里云 RAM控制台。
在左侧导航栏中,单击SSO管理。
在用户 SSO页签下,可查看当前SSO登录设置相关信息。
单击编辑,开启SSO 功能状态,上传步骤二中在IDaaS下载的IdP 元数据,无需开启辅助域名。
单击确定,即可完成配置。
四、尝试SSO
您已经可以使用阿里云-云效SSO。有如下两种发起模式。
从IDaaS发起(IdP发起):使用已拥有阿里云-云效SSO应用权限的IDaaS账户,登录到IDaaS应用门户页,单击页面上的图标,即可发起单点登录,成功登录至阿里云-云效。
从阿里云-云效发起(SP发起):使用匿名浏览器,访问云效地址,自动跳转到阿里云登录页,单击下方RAM用户,输入阿里云用户名并单击下一步。
此时将出现提示页面,单击使用企业账号登录或复制登录链接,如果您已登录IDaaS应用门户,则可直接登录至阿里云-云效;否则将跳转至IDaaS的登录页,在IDaaS中完成登录后自动完成阿里云-云效的登录。
