本文介绍如何在阿里云IDaaS中配置角色SSO。使用角色SSO,您无需为每个成员创建RAM用户。
一、在IDaaS中创建应用
登录IDaaS控制台。
选择IDaaS实例并在操作区域下方单击访问控制台。
前往,搜索阿里云角色SSO应用模板。单击添加应用。
确认应用名称,单击立即添加。
二、在IDaaS中配置应用单点登录
添加应用后,将自动跳转到应用单点登录配置页,您将在此处进行配置。
填写单点登录相关配置。
阿里云主账号ID:在控制台首页-头像/账号中心查看。
身份提供商名称:仅支持英文字母、数字或字符“.-_”,且不能以特殊字符开头或结尾。
应用账户:单点登录时作为主键,匹配RAM角色。
授权范围:如果是测试,建议选择全员可访问,跳过权限分配步骤。
在应用配置信息中,下载IdP 元数据,保存到电脑中。此文件用于建立阿里云对IDaaS的信任关系。
在中,单击添加应用账户。
选择需要使用阿里云角色SSO的账户,为其添加应用账户。应用账户名需要和阿里云角色名称完全一致。如果一个IDaaS账户对应多个阿里云角色,可以创建多个应用账户。
三、在RAM中配置角色SSO
登录RAM控制台。
在左侧导航栏,选择。
在角色SSO页签,先单击SAML页签,然后单击创建身份提供商。
填写身份提供商名称(身份提供商名称需和步骤二中的身份提供商名称一致),上传步骤二中在IDaaS下载的IdP 元数据,单击创建身份提供商,完成身份提供商的创建。
四、在RAM中配置身份提供商权限
登录RAM控制台。
在左侧导航栏中,选择。
在角色页面,单击创建角色。
在创建角色页面的右上角,单击切换编辑器。
选择身份提供商,单击编辑,选择身份提供商类型(选择步骤三中创建的身份提供商),单击确定。
在创建角色对话框,输入角色名称,然后单击确定(角色名称需和步骤二中的应用账户名一致)。
您可以为RAM角色分配权限,通过该角色单点登录到阿里云的IDaaS账户都会拥有相同权限。
五、验证SSO
使用已拥有阿里云角色SSO应用权限的IDaaS账户,登录到IDaaS应用门户页,单击页面上的阿里云角色SSO图标,即可发起单点登录。
如果IDaaS账户拥有两个或以上的应用账户(阿里云角色),则需要选择一个应用账户进行单点登录。
选择合适的应用账户并单击确定,即以角色的身份单点登录至阿里云。