本文介绍通过基于SAML 2.0的用户SSO,配置相应元数据来建立阿里云对企业身份提供商(IdP)的信任,实现企业IdP通过用户SSO登录阿里云。
背景信息
设置默认域名、域别名或辅助域名可以简化SAML SSO的配置流程。关于如何设置阿里云账号的默认域名或域别名,请参见查看和修改默认域名或创建并验证域别名。
操作步骤
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
单击用户SSO页签,配置用户SSO登录的相关信息。
SSO功能状态:选择开启或关闭。
关闭(默认值):RAM用户可以使用密码登录,所有SSO设置不生效。
开启:开启后,统一跳转到企业IdP登录服务进行身份认证,RAM用户密码登录方式将会被关闭。
说明用户SSO是一个全局功能,开启后,所有RAM用户都需要使用SSO登录。用户SSO功能不影响阿里云账号(主账号)的登录,也不影响使用AccessKey发起的OpenAPI调用。
元数据文档:单击上传元数据,上传企业IdP提供的元数据文档。
说明元数据文档由企业IdP提供,一般为XML格式,包含IdP的登录服务地址以及X.509公钥证书(用于验证IdP所颁发的SAML断言的有效性)。
辅助域名(可选):开启辅助域名开关,可以设置一个辅助域名。
如果设置了辅助域名,SAML断言中的
NameID元素将可以使用此辅助域名作为后缀。如果没有设置辅助域名,SAML断言中的
NameID元素将只能使用当前账号的默认域名或域别名作为后缀。
关于
NameID元素的取值,请参见用户SSO的SAML响应。说明如果您同时设置了域别名和辅助域名,辅助域名将不会生效。此时,
NameID元素只能使用域别名或默认域名作为后缀。
后续步骤
完成SAML配置后,选择以下一种方法创建与企业IdP相匹配的RAM用户:
登录RAM控制台手动创建与企业IdP匹配的RAM用户,详情请参见创建RAM用户。
使用RAM SDK或阿里云CLI来创建RAM用户,详情请参见CreateUser - 创建RAM用户。