本文为您介绍如何在IDaaS中配置阿里云用户单点登录。使用用户SSO,您的企业成员将以RAM用户访问阿里云。
操作步骤
一、在IDaaS侧创建应用
登录IDaaS控制台。
选择IDaaS实例,在操作区域下方单击访问控制台。
前往,搜索到阿里云用户 SSO应用模板,单击添加应用。
确认应用名称,单击立即添加。
二、配置应用单点登录和账户同步
添加应用后,将自动跳转到阿里云用户SSO配置页面,可以选择智能配置或手动配置两种方式完成单点登录和账户同步配置。
智能配置
进入应用后,单击智能配置按钮,快速完成以下配置。如果您已了解快速指南内容,可点击右侧关闭快速指南按钮,隐藏快速指南的展示,后续有需要还可以通过点击打开快速指南重新阅读。
选择启用功能
在启用功能中选择适用的场景,默认是仅启用SSO,您还可以选择启用SSO及账户同步,不同场景对应不同的依赖检查项目。
开启SR授权
选择场景后,需要去开启SR授权,如果未授权,你需要点击去授权,授权完成后点击右侧的刷新,刷新页面授权状态。
执行依赖检查
开启授权后,系统将根据所选场景自动执行依赖检查,并显示检查项及检查结果,如果是未通过,需结合失败原因,完成对应的修复。只有所有检查项都通过,开始配置按钮才显示为可点击状态。
智能配置只支持配置当前主账号。
依赖检查是确保SSO功能正常的重要环节,如有未通过的检查项,请按提示完成对应修复。
启用 RAM 单点登录(SSO)后,RAM 用户将立即切换至 IDaaS 身份认证,原有登录方式将失效。请确保需要RAM登录的账号在IDaaS已存在,并且在SSO配置后及时完成授权,否则可能导致无法访问阿里云控制台。
手动配置
选择登录访问,点击单点登录配置页。
重要转换为 SSO 标准模版后,将无法使用智能配置功能。
输入阿里云主账号ID,可单击页面右上角头像处获取。选择应用账号名属性,用户进行单点登录时,将以该字段作为主键,对应至阿里云中的 RAM用户,从而实现在阿里云中的登录。如果仅用于测试,建议授权范围选择全员可访问,暂时跳过为IDaaS账号分配权限的步骤。
在应用配置信息中,下载IdP 元数据,保存到电脑中。此文件用于建立阿里云对IDaaS的信任关系。
如果您IDaaS账户名与RAM用户名( RAM 子账户前缀)一致,应用账户处可选择IDaaS账户名。
如果您IDaaS账户名与RAM用户名不一致,应用账户处选择应用账户,在应用账户界面绑定对应的账户关系,选择单点登录的IDaaS账户,填写RAM用户名前缀。
登录RAM控制台,在左侧导航栏中,单击SSO管理。在用户 SSO页签下,单击开启 SSO 功能状态,上传步骤3中在IDaaS下载的 IdP 元数据,无需开启辅助域名。
启用 RAM 单点登录(SSO)后,RAM 用户将立即切换至 IDaaS 身份认证,原有登录方式将失效。请确保需要RAM登录的账号在IDaaS已存在,并且在SSO配置后及时完成授权,否则可能导致无法访问阿里云控制台。
三、在RAM中配置子用户权限(可选)
您可能拥有存量的RAM用户,或希望将IDaaS中账户同步至阿里云(详见文档:账户同步-事件回调),此时请按需在左侧菜单栏的用户中为用户分配权限,以便用户拥有恰当的权限访问阿里云的资源。如果仅为了测试单点登录能力,请忽略此步骤。
四、尝试SSO
从IDaaS或阿里云发起用户SSO登录:
从IDaaS发起(IdP发起):使用已拥有阿里云用户SSO应用权限的IDaaS账户登录IDaaS应用门户,单击页面上的应用图标,即可发起单点登录至阿里云。
从阿里云发起(SP发起):使用匿名浏览器,打开阿里云登录页,单击下方RAM用户登录,输入RAM用户名,单击下一步。
此时将出现提示页面,单击使用企业账号登录或复制登录链接,如果您已登录IDaaS应用门户,则可直接登录至阿里云;否则将跳转至IDaaS的登录页,在IDaaS中完成登录后自动完成阿里云的登录。
