单点登录流程需要 IDaaS 与应用之间进行交互,所以需要在两端进行配置。
当前文档以 SAML 2.0 标准协议为例进行配置说明。
若您希望了解 IDaaS 中支持的 SSO 协议,请前往:2. 标准协议。
IDaaS 侧配置
快捷方式:上传应用配置文件
部分应用在 SSO 配置页面,能够将配置信息 metadata 一键下载,并在 IDaaS 中上传;或提供公开接口,允许 IDaaS 将配置信息拉取过来。
IDaaS 即可获取到配置 SSO 的所有信息,预填充进表单。无需管理员手动配置,确认保存即可完成。
IDaaS 侧配置字段说明
| 字段 | 说明 | 举例 |
基本配置(必填) | 单点登录地址 ACS URL | 应用的 SAML SSO 核心地址,与 IDaaS 交互处理单点登录请求。 | https://signin.example.com/1021*****4813/saml/SSO |
应用唯一标识 SP Entity ID | 应用在 IDaaS 中的标识,通常在应用侧获取,格式通常为应用 URI。若应用侧没有要求,直接复用单点登录地址即可。 | https://signin.example.com/1021*****4813/saml/SSO | |
应用账户 | SAML 协议中将应用账户称为 NameID。请参考:SAML 应用账户配置。 | 选择:使用 IDaaS 账户名(Username) | |
授权范围 | 请参考:单点登录通用说明。 | 选择:全员可访问 | |
高级配置(选填) | 默认跳转地址 Default RelayState | IDP 发起 SSO 登录成功后,应用自动跳转的地址。在 SAML Response 中会在 RelayState 参数中传递,应用读取后实现跳转。 | 应用内二级菜单页。 http://www.example.com/menu/manage |
NameID 格式NameIDFormat | SAML Response 中指定账户标识 NameID 字段格式。很多应用不对 NameIDFormat 进行处理,所以一般无需修改。 | 选择:1.1 Unspecified | |
Binding 格式 Binding | Binding 字段指定了双方请求的方式。目前只支持 Redirect - POST,一般无需修改。 | 选择:Redirect - POST | |
是否对断言签名 Sign Assertion | IDaaS 会为所有 SAML 请求签名,暂不支持修改。 | - | |
签名算法 Signing Algorithm | 签名使用的非对称算法,当前仅支持 RSA-SHA256 算法,一般无需修改。 | 选择:RSA-SHA256 | |
断言属性 Attribute Statements | 在 SAML Response 中,可以将额外用户字段(例如邮箱、显示名等)返回给应用解析。参考 SAML Attribute Statements 值填写规范。 | - | |
SSO发起方 | 用户访问由应用发起,还是支持门户发起。 | 只允许应用发起 | |
登录发起地址 | 若【SSO发起方】设置为【支持门户和应用发起】,可填写登录发起地址。门户页访问应用时,IDaaS 会跳转到本地址,应即刻自动向 IDaaS 发起 SAMLRequest 登录请求。 | - |
应用侧配置
快捷方式:上传 IDaaS 配置文件
为了便于应用侧配置,IDaaS 支持将配置信息一键下载。
部分应用配置 SSO 时,支持 metadata 信息上传。可将 IDaaS 配置文件上传,或将 metadata 地址填写至应用侧。无需手动配置,即可完成对接。
应用侧配置字段说明
应用侧需要配置 IDaaS 的信息,完成对接。
IDaaS 会在单点登录配置页中,集中展示所有应用侧可能需要使用的信息,方便配置。具体字段说明如下:
字段名称 | 说明 | 示例 |
IDP 唯一标识 IDP Entity ID | IDaaS 在应用中的标识。可能需要将值填写在应用侧 SSO 配置中。 | https://xxxxx.aliyunidaas.com |
IDP SSO 地址 IDP-init SSO URL | SAML 协议支持 SP 发起单点登录,可能需要填写此地址在应用配置中。 | https://xxxxx.aliyunidaas.com.cn/saml/idp/saml1 |
单点退出地址 SLO URL | SAML 协议支持单点登出。若希望实现此功能,需要填写此地址在应用配置中。 | - |
公钥证书 Certificate | IDaaS 发送的单点登录结果,会自动携带一个电子签名。应用可以使用这里的公钥,对结果验签,确认结果是 IDaaS 发出,确保安全。 | -----BEGIN CERTIFICATE----- MIIDEjCCAfqgAwIBAgIHAYnNmX60izANBgkqhkiG9w0BAQsFADApMRowGAYDVQQD..... |