本文为您介绍如何在IDaaS中配置阿里云用户单点登录。使用用户SSO,您的企业成员将以RAM用户访问阿里云。
操作步骤
一、创建应用
登录IDaaS管理控制台。
选择IDaaS实例并在操作区域下方单击访问控制台。
前往,搜索到阿里云用户 SSO应用模板。单击添加应用。
确认应用名称,即可立即添加。
二、配置应用单点登录
添加应用后,将自动跳转到应用单点登录配置页,您将在此处进行配置。
输入阿里云主账号ID,可单击页面右上角头像处获取。选择应用账号名属性,用户进行单点登录时,将以该字段作为主键,对应至阿里云中的 RAM用户,从而实现在阿里云中的登录。如果仅用于测试,建议授权范围选择全员可访问,暂时跳过为IDaaS账号分配权限的步骤。
在应用配置信息中,下载IdP 元数据,保存到电脑中。此文件用于建立阿里云对IDaaS的信任关系。
如果您IDaaS账户名与RAM用户名( RAM子账户前缀)一致,应用账户处可选择IDaaS账户名 。
如果您IDaaS账户名与RAM用户名不一致, 应用账户处选择应用账户 ,在应用账户界面绑定对应的账户关系,选择单点登录的IDaaS账户,填写RAM用户名前缀。
三、在阿里云中配置用户SSO
登录阿里云RAM控制台。
在左侧导航栏中,单击SSO管理。
在用户 SSO页签下,可查看当前SSO登录设置相关信息。
单击编辑,开启SSO 功能状态,上传步骤二中在IDaaS下载的IdP 元数据,无需开启辅助域名。
单击确定,即可完成配置。
四、在阿里云中配置子用户权限(可选)
您可能拥有存量的RAM用户,或希望将IDaaS中账户同步至阿里云(详见文档:账户同步-事件回调),此时请按需在左侧菜单栏的用户中为用户分配权限,以便用户拥有恰当的权限访问阿里云的资源。如果仅为了测试单点登录能力,请忽略此步骤。
五、尝试SSO
从IDaaS或阿里云发起用户SSO登录。
从IDaaS发起(IdP发起):使用已拥有阿里云用户SSO应用权限的IDaaS账户,登录到IDaaS应用门户页,单击页面上的图标,即可发起单点登录至阿里云。
从阿里云发起(SP发起):使用匿名浏览器,打开阿里云登录页,单击下方RAM用户登录,输入RAM用户名并单击下一步。
此时将出现提示页面,单击使用企业账号登录或复制登录链接,如果您已登录IDaaS应用门户,则可直接登录至阿里云;否则将跳转至IDaaS的登录页,在IDaaS中完成登录后自动完成阿里云的登录。
