本文将指导您如何通过阿里云IDaaS平台实现与腾讯云集团账号管理系统的单点登录(SSO)集成,并完成IDaaS账户向腾讯云集团账号管理平台的自动化同步。
前提条件
已拥有阿里云IDaaS实例的管理权限。
已拥有腾讯云集团账号管理的管理员权限。
已开通腾讯云集团账号管理服务。
单点登录配置步骤
一、在 IDaaS 侧配置
登录IDaaS管理控制台,在左侧导航栏中,选择 EIAM 云身份服务 。选择对应的 IDaaS 实例,单击操作列的访问控制台。
单击,搜索腾讯云-集团账号管理,单击添加应用。确认应用名称后,单击立即添加。
在页签配置腾讯云-集团账号管理。
单点登录配置:启用单点登录。
集团账号管理 ACS URL:填写腾讯云集团账号提供的 ACS URL。
集团账号管理 Entity ID:填写腾讯云集团账号提供的 Entity ID。
应用账户:选择应用账户。
授权范围:根据实际需求选择手动授权或全员可访问。
在应用配置信息栏下载IdP 元数据,用于配置腾讯云集团账号管理的身份提供商信息。
在应用账户下添加访问用户信息。
重要确保 IDaaS 应用的用户名与腾讯云身份中心的用户名一致。
二、在腾讯云集团账号管理侧配置
登录腾讯云集团账号管理控制台,在身份中心管理菜单栏,单击。
在SSO登录栏,单击开启按钮,开启SSO登录。
获取配置服务提供商(SP)信息 ACS URL 和 Entity ID,分别填入 IDaaS 中的腾讯云-集团账号管理应用。
单击配置身份提供商信息,上传在 IDaaS 下载的IdP 元数据文件。
配置CAM用户登录。
在菜单栏,单击新建用户,创建与IDaaS 中腾讯云-集团账号管理应用单点登录相同的用户名。
返回到用户列表页面,单击用户名称。
进入用户详情页面,选择CAM用户同步页签。单击配置CAM用户同步。
在多账号授权管理页面,Root区块,勾选主账号名称。单击配置CAM同步。
在配置CAM用户同步页面,勾选用户或者用户组,选择需要单点登录的用户。选择完成后,在左下角单击下一步。
按实际需求设置基本信息,如无特殊需求,可忽略此步骤,直接单击下一步。
确认配置信息无误后,完成配置。单击左下角提交按钮。
三、验证 SSO
完成 SSO 登录配置后,您可以从 IDaaS 或者腾讯云发起 SSO 登录。
阿里云IDaaS发起登录流程。
登录 IDaaS 用户门户。
单击访问腾讯云-集团账号管理应用。
系统将自动跳转至腾讯云-集团账号管理且无需再次认证。
腾讯云发起登录流程。
在菜单, 查看并访问用户登录 URL链接。
在身份中心登录页面,单击登录按钮。
重定向到 IDaaS 门户登录页面,输入账号密码登录。
登录成功,进入身份中心账号列表页。
SCIM 同步配置步骤
一、在腾讯云集团账号管理侧配置
在菜单栏,开启SCIM用户同步配置。
单击生成新的SCIM密钥,根据实际需求选择密钥有效期,然后单击确定按钮。
重要此密钥只显示一次,请下载CSV文件或复制后妥善保存,用于填写IDaaS侧的Bearer Token密钥。
二、在 IDaaS 侧配置
在IDaaS应用腾讯云-集团账号管理下切换至账户同步页签,开启IDaaS同步到应用并设置同步范围。
填写密钥信息。在基础配置页签,Bearer Token 密钥模式处填写步骤一获取的SCIM密钥。
说明仅需填写CredentialSecret密钥。
操作调用。您可以选择性地订阅关注的变更事件,获取即时推送。当IDaaS同步范围内的用户发生对应变更时,系统将自动触发同步并实时更新至应用中。
字段映射。用于展示和编辑SCIM同步过程中的字段映射关系,您可以根据实际需求进行更改。
映射标识。映射标识是SCIM filter查询可用的字段列表,一般与协议标准及业务字段相互对应,通常无需修改。
测试连接。在配置完成保存后,建议您通过测试连接功能检查配置是否正确。
一键推送。管理员可以通过一键推送功能,将在同步范围内的账户一次性全部推送到腾讯云集团账号管理。
三、验证同步
IDaaS侧验证。
单击一键推送后,同步范围内账户会同步至腾讯云集团账号管理。如果推送成功后系统会提示任务成功,您可以前往中查看日志。
腾讯云侧验证。
在腾讯云集团账号管理左侧导航栏,查看IDaaS账户同步的目标账户,来源列会显示外部导入。
