使用IDaaS实现角色SSO的示例

本文为您介绍如何在IDaaS中配置阿里云角色单点登录。使用角色SSO,您不必为企业或组织中的每一个成员都创建一个RAM用户。​

操作步骤

一、创建应用

  1. 登录IDaaS管理控制台

  2. 选择IDaaS实例并在操作区域下方单击访问控制台image

  3. 前往应用 > 添加应用 > 应用市场,搜索阿里云角色SSO应用模板。单击添加应用

    image.png

  4. 确认应用名称,单击立即添加

    image.png

二、配置应用单点登录

  1. 添加应用后,将自动跳转到应用单点登录配置页,您将在此处进行配置。

    image.png

  2. 输入阿里云主账号ID(账号ID可在阿里云控制台首页 - 头像或账号中心获取)。

    填写您准备在阿里云创建的身份提供商名称(只允许英文字母、数字、特殊字符.-_,不能以特殊字符开头或结尾),需与步骤三中的一致。

    选择应用账号名属性,用户进行单点登录时,将以该字段作为主键,对应至阿里云中的RAM角色,从而实现在阿里云中的登录。

    如果仅用于测试,建议授权范围选择全员可访问,以便跳过为IDaaS账号分配权限的步骤。

image.png

  1. 应用配置信息中,下载IdP 元数据,保存到电脑中。此文件用于建立阿里云对IDaaS的信任关系。

    image.png

  1. 单点登录 > 应用账户中,单击添加应用账户

    image.png

  1. 选择需要使用阿里云角色SSO的账户,为其添加应用账户。应用账户名需要和阿里云角色名称完全一致如果一个IDaaS账户对应多个阿里云角色,可以创建多个应用账户。

    image.png

三、在阿里云中配置角色SSO

  1. 登录阿里云 RAM控制台

  2. 在左侧导航栏中,单击SSO管理

  3. 角色 SSO页签下,可查看当前SSO登录设置相关信息。

  4. 单击创建身份提供商

    image.png

  5. 填写身份提供商名称(需和步骤二中的身份提供商名称一致),上传步骤二中在IDaaS下载的IdP 元数据,单击确定,完成身份提供商的创建。

    image.png

四、在阿里云中配置身份提供商权限

  1. 在左侧导航栏中,单击身份管理 > 角色

  2. 单击创建角色,选择身份提供商

    image.png

  3. 填写角色名称(需和步骤二中的应用账户名一致),选择步骤三中创建的身份提供商,按需填写其他配置,单击完成

    image.png

  1. 此时也完成角色的创建。您可以为您的角色分配权限,通过该角色单点登录到阿里云的IDaaS账户都会拥有相同权限。

    image.png

五、尝试SSO

您已经可以开始阿里云角色SSO。

  1. 使用已拥有阿里云角色SSO应用权限的IDaaS账户,登录到IDaaS应用门户页,单击页面上的图标,即可发起单点登录。

    image.png

  1. 如果IDaaS账户拥有两个或以上的应用账户(阿里云角色),则需要选择一个应用账户进行单点登录。

    image

  1. 选择合适的应用账户并单击确定,即以角色的身份单点登录至阿里云。

​​