本文介绍如何在阿里云IDaaS中配置阿里云云SSO单点登录。
应用简介
云SSO提供基于阿里云资源目录RD(Resource Directory)的多账号统一身份管理与访问控制。使用云SSO,可以统一管理企业中使用阿里云的用户,一次性配置企业身份管理系统与阿里云的单点登录,并统一配置所有用户对RD账号的访问权限。
操作步骤
一、创建应用
-
选择IDaaS实例,在操作区域下方单击访问控制台。
-
在左侧导航栏,选择 应用管理 > 应用列表 ,在应用列表页单击添加应用。在应用市场搜索到阿里云 - 云SSO应用模板,单击添加应用。
-
确认应用名称,单击立即添加。
在协议中选择SAML 2.0。
二、配置应用单点登录和用户SSO
添加应用后,将自动跳转到阿里云云SSO配置页面,可以选择智能配置或手动配置两种方式完成单点登录和账户同步配置。
智能配置
进入应用后,单击智能配置按钮,快速完成以下配置。如果您已了解快速指南内容,可点击右侧关闭快速指南按钮,隐藏快速指南的展示,后续有需要还可以通过点击打开快速指南重新阅读。
-
选择启用功能
在启用功能中选择适用的场景,默认是仅启用SSO,您还可以选择启用SSO及账户同步,不同场景对应不同的依赖检查项目。
-
开启SR授权
选择场景后,需要去开启SR授权,如果未授权,你需要点击去授权,授权完成后点击右侧的刷新,刷新页面授权状态。
-
执行依赖检查
开启授权后,系统将根据所选场景自动执行依赖检查,并显示检查项及检查结果,如果是未通过,需结合失败原因,完成对应的修复。只有所有检查项都通过,开始配置按钮才显示为可点击状态。
-
智能配置只支持配置当前主账号。
-
依赖检查是确保SSO功能正常的重要环节,如有未通过的检查项,请按提示完成对应修复。
启用云SSO 单点登录(SSO)后,云SSO 用户将立即切换至 IDaaS 身份认证,原有登录方式将失效。请确保需要云SSO的账号在IDaaS已存在,并且在SSO配置后及时完成授权,否则可能导致无法访问云SSO。
手动配置
-
添加应用后,将自动跳转到应用单点登录配置页面。在 IDaaS 应用的登录访问 > 单点登录页面,开启单点登录配置开关,填写以下字段:
为了便于测试,授权范围暂时选择全员可访问。
-
云SSO ACS URL:从云SSO,SSO登录配置ACS URL处获取,详情请参见文内在云SSO中配置用户SSO。
-
云SSO EntityId:从云SSO,SSO登录配置EntityId处获取,详情请参见在云SSO中配置用户SSO。
说明-
应用账户:默认使用IDaaS账户名作为应用登录标识。应用中必须有账户的用户名和IDaaS登录账户名保持一致,才能完成SSO。若希望灵活配置,请参考SAML应用账户配置。
-
授权范围:若希望指定可访问应用的IDaaS账户,请参考应用授权进行配置。
重要转换为 SSO 标准模版后,将无法使用智能配置功能。
-
-
在应用配置信息中,单击下载SAML元配置文件,保存到电脑中。您将在下一步中将此文件直接上传到阿里云云SSO中。
-
登录云SSO控制台。
-
在左侧导航栏中,单击。
-
单击配置身份提供商信息。在 身份提供商IdP信息 区域,单击 配置身份提供商信息。
-
上传步骤中下载的SAML元配置文件,上传后自动完善身份提供方信息。单击启用SSO登录配置。在 SSO登录 页面中,打开SSO登录开关,在弹出的确认对话框中单击 确定 以启用SSO登录。启用后将关闭用户名密码登录。
-
复制云SSO ACS URL和云SSO EntityId的内容,填写到步骤1的单点登录配置页面中。
在同一页面中,将应用账户设置为IDaaS账户名,授权范围设置为全员可访问。
-
单击保存,SSO配置就已全部完成。
三、尝试SSO
-
访问云SSO配置中的登录地址。在云SSO的登录配置页面,确认右上角开关状态为已启用。页面分为两个区域:服务提供商(SP)信息区域包含下载SP元数据文档链接、IdP响应的SAML断言加密(显示为"不加密",可单击编辑修改)、ACS URL及Entity ID(均可复制);身份提供商(IdP)信息区域包含Entity ID和登录地址,其中登录地址为关键配置项,需复制用于IdP侧配置。
-
由于已经开启了IDaaS身份源, 发起登录会跳转到IDaaS的登录页面,可经由IDaaS提供的多种认证方式和身份安全能力进行登录。
-
登录成功,即可使用。登录成功后,将进入云SSO用户门户页面,页面展示当前用户可访问的云账号列表,支持通过以RAM角色登录和以RAM用户登录两种方式访问目标云账号。