本文为您介绍如何在IDaaS中配置百度智能云角色SSO(对应百度智能云中的IAM角色联合)。使用角色SSO,您不必为企业或组织中的每一个成员都创建一个百度智能云子用户。
一、创建应用
登录IDaaS管理控制台。
选择IDaaS实例并在操作区域下方单击访问控制台。
前往,搜索到百度智能云角色 SSO。单击添加应用。
确认应用名称,即可完成添加。
二、在IDaaS中配置SSO
在单点登录配置页中,您需要录入百度智能云的主账号ID
您可以使主账号登录百度智能云,在“用户中心”查看您的主账号ID
身份提供商名称,需要与百度智能云IAM角色联合中的身份提供商名称保持一致,例如:AliyunIDaaSRole
其他选项保持默认,点击保存即可完成IDaaS侧全部SSO配置。
提示应用账户:默认使用IDaaS账户名作为应用登录标识。应用中用户名必须要和IDaaS账户名保持一致,才能完成SSO。 若希望灵活配置,请参考单点配置进行配置。 授权范围:若希望指定可访问应用的IDaaS账户,请参考单点配置进行配置。
在页面下方的应用配置信息中,即包含了百度智能云完成SSO配置所需要的参数,下载IdP 元数据,保存至本地,在后续流程中将会使用。
三、配置百度智能云
使用主账号,登录百度智能云,单击右上角的头像,在弹出的菜单中,单击多用户访问控制,如下图所示:
在左侧导航栏栏中,选择,打开如下图所示界面
添加身份提供者,打开如下界面,名称填写AliyunIDaaSRole,务必与IDaaS中配置的名称保持一致;选择步骤二中下载的IdP 元数据,进行上传。
单击确定,你可以在列表中,查看到您添加的身份提供者。
四、在百度智能云中创建角色
创建百度智能云角色(如果您有存量的百度智能云子用户,可以跳过此步骤),选择,打开如下界面
输入角色名称,例如:DemoSSORole,载体类型选择外部账号,载体主体选择之前创建的身份服务提供者:AliyunIDaaSRole。您可以为该角色赋予一些权限
五、在IDaaS中为用户关联角色
返回IDaaS管理控制台
选择应用,在应用列表中,找到步骤一中创建的应用百度智能云角色 SSO,单击管理,接着选择单点登录中应用账户页签,单击添加应用账户,弹出如下对话框:
搜索并选择一个用户,为其添加应用账号,账号名称为步骤四中创建的角色名称DemoSSORole,然后保存。您可以在应用账户列表中,查看到您刚刚添加的应用账号。
六、尝试SSO
您已经可以尝试百度智能云角色SSO。
IDP发起
请用上一步中关联了百度智能云角色DemoSSORole的IDaaS账户,登录到IDaaS门户页,单击百度智能云用户 SSO ,发起SSO。
您将以DemoSSORole的身份,登录到百度智能云中,如下图所示:
