使用IDaaS实现角色SSO的示例
本文为您介绍如何在IDaaS中配置阿里云角色单点登录。使用角色SSO,您不必为企业或组织中的每一个成员都创建一个RAM用户。
操作步骤
一、创建应用
登录IDaaS管理控制台。
选择IDaaS实例并在操作区域下方单击访问控制台。
前往
,搜索阿里云角色SSO应用模板。单击添加应用。确认应用名称,单击立即添加。
二、配置应用单点登录
添加应用后,将自动跳转到应用单点登录配置页,您将在此处进行配置。
输入阿里云主账号ID(账号ID可在阿里云控制台首页 - 头像或账号中心获取)。
填写您准备在阿里云创建的身份提供商名称(只允许英文字母、数字、特殊字符.-_,不能以特殊字符开头或结尾),需与步骤三中的一致。
选择应用账号名属性,用户进行单点登录时,将以该字段作为主键,对应至阿里云中的RAM角色,从而实现在阿里云中的登录。
如果仅用于测试,建议授权范围选择全员可访问,以便跳过为IDaaS账号分配权限的步骤。
在应用配置信息中,下载IdP 元数据,保存到电脑中。此文件用于建立阿里云对IDaaS的信任关系。
在
中,单击添加应用账户。
选择需要使用阿里云角色SSO的账户,为其添加应用账户。应用账户名需要和阿里云角色名称完全一致。如果一个IDaaS账户对应多个阿里云角色,可以创建多个应用账户。
三、在阿里云中配置角色SSO
登录阿里云 RAM控制台。
在左侧导航栏中,单击SSO管理。
在角色 SSO页签下,可查看当前SSO登录设置相关信息。
单击创建身份提供商。
填写身份提供商名称(需和步骤二中的身份提供商名称一致),上传步骤二中在IDaaS下载的IdP 元数据,单击确定,完成身份提供商的创建。
四、在阿里云中配置身份提供商权限
在左侧导航栏中,单击
。单击创建角色,选择身份提供商。
填写角色名称(需和步骤二中的应用账户名一致),选择步骤三中创建的身份提供商,按需填写其他配置,单击完成。
此时也完成角色的创建。您可以为您的角色分配权限,通过该角色单点登录到阿里云的IDaaS账户都会拥有相同权限。
五、尝试SSO
您已经可以开始阿里云角色SSO。
使用已拥有阿里云角色SSO应用权限的IDaaS账户,登录到IDaaS应用门户页,单击页面上的图标,即可发起单点登录。
如果IDaaS账户拥有两个或以上的应用账户(阿里云角色),则需要选择一个应用账户进行单点登录。
选择合适的应用账户并单击确定,即以角色的身份单点登录至阿里云。