阿里云用户 SSO

操作步骤

一、创建应用

1. 登录IDaaS管理控制台。

2. 选择IDaaS实例并在操作区域下方单击访问控制台。

3. 前往应用 > 添加应用 > 应用市场，搜索到阿里云用户 SSO应用模板。单击添加应用。

   

4. 确认应用名称，即可立即添加。

   ​

二、配置应用单点登录

1. 添加应用后，将自动跳转到应用单点登录配置页，您将在此处进行配置。

   

2. 输入阿里云主账号ID，可单击阿里云控制台首页 > 账号中心页面右上角头像处获取。选择应用账号名属性，用户进行单点登录时，将以该字段作为主键，对应至阿里云中的 RAM用户，从而实现在阿里云中的登录。如果仅用于测试，建议授权范围选择全员可访问，暂时跳过为IDaaS账号分配权限的步骤。

   

3. 在应用配置信息中，下载IdP 元数据，保存到电脑中。此文件用于建立阿里云对IDaaS的信任关系。

   

4. 如果您IDaaS账户名与RAM用户名（ RAM子账户前缀）一致，应用账户处可选择IDaaS账户名 。

   

   如果您IDaaS账户名与RAM用户名不一致， 应用账户处选择应用账户 ，在应用账户界面绑定对应的账户关系，选择单点登录的IDaaS账户，填写RAM用户名前缀。

   

三、在阿里云中配置用户SSO

1. 登录阿里云RAM控制台。

2. 在左侧导航栏中，单击SSO管理。

3. 在用户 SSO页签下，可查看当前SSO登录设置相关信息。

4. 单击编辑，开启SSO 功能状态，上传步骤二中在IDaaS下载的IdP 元数据，无需开启辅助域名。

5. 单击确定，即可完成配置。

   

四、在阿里云中配置子用户权限（可选）

您可能拥有存量的RAM用户，或希望将IDaaS中账户同步至阿里云（详见文档：账户同步-事件回调），此时请按需在左侧菜单栏的用户中为用户分配权限，以便用户拥有恰当的权限访问阿里云的资源。如果仅为了测试单点登录能力，请忽略此步骤。

五、尝试SSO

1. 从IDaaS或阿里云发起用户SSO登录。

   • 从IDaaS发起（IdP发起）：使用已拥有阿里云用户SSO应用权限的IDaaS账户，登录到IDaaS应用门户页，单击页面上的图标，即可发起单点登录至阿里云。

   • 从阿里云发起（SP发起）：使用匿名浏览器，打开阿里云登录页，单击下方RAM用户登录，输入RAM用户名并单击下一步。

2. 此时将出现提示页面，单击使用企业账号登录或复制登录链接，如果您已登录IDaaS应用门户，则可直接登录至阿里云；否则将跳转至IDaaS的登录页，在IDaaS中完成登录后自动完成阿里云的登录。

   ​