本文提供一个以OneLogin与阿里云进行角色SSO的示例,帮助您理解企业IdP与阿里云进行角色SSO的端到端配置流程。
背景信息
本示例中,企业拥有一个阿里云账号、一个OneLogin管理员用户和多个OneLogin普通用户。您希望经过配置,使OneLogin普通用户直接使用OneLogin账号通过角色SSO的方式访问阿里云,而不是在阿里云重新创建账号。
关于什么是OneLogin,请参见OneLogin帮助文档。
步骤一:在OneLogin创建应用
- 使用管理员用户登录OneLogin。
- 在账号头像的左侧,单击Administration,进入管理员页面。
- 在顶部菜单栏,选择 。
- 在Applications页面的右上角,单击Add App。
- 在Find Applications页面,搜索SAML Test Connector (Advanced)。
- 在Add SAML Test Connector (Advanced)页面,配置应用程序的基本信息,然后单击Save。本示例中设置应用程序的Display Name为
LoginToAliyun
,其他参数保持默认值。 - 在Info页面,鼠标悬浮在右上角的More Actions上,从下拉列表中单击SAML Metadata,下载身份提供商(IdP)元数据文件,并将其保存在本地计算机上。
步骤二:在阿里云创建身份提供商
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择 。
- 在角色SSO页签,单击SAML页签,然后单击创建身份提供商。
- 在创建身份提供商页面,输入身份提供商名称(OneLogin)和备注。
- 在元数据文档区域,单击上传文件,上传从步骤一:在OneLogin创建应用获取的IdP元数据。
- 单击确定。查看新创建的身份提供商详情,记录其ARN,方便您后续使用。
步骤三:在阿里云创建RAM角色
- 在RAM控制台的左侧导航栏,选择 。
- 在角色页面,单击创建角色。
- 在创建角色面板,选择可信实体类型为身份提供商,单击下一步。
- 输入角色名称(例如:Reader-OneLogin)和备注。
- 选择身份提供商类型为SAML。
- 选择从步骤二:在阿里云创建身份提供商中创建的身份提供商(OneLogin)并查看限制条件后,单击完成。
- 单击关闭。查看新创建的RAM角色详情,记录其ARN,方便您后续使用。
步骤四:在OneLogin配置应用
- 使用管理员用户登录OneLogin。
- 创建自定义用户属性。
- 配置应用。
步骤五:在OneLogin创建用户并分配应用
- 使用管理员用户登录OneLogin。
- 在顶部菜单栏,选择 。
- 创建用户。说明 如果您已经拥有OneLogin用户,请跳过此步。
- 在User Info页面的Custom Fields区域,配置用户自定义属性Aliyun Roles for SSO的值。
Aliyun Roles for SSO取值由RAM角色ARN和身份供应商ARN组成,两者之间用半角逗号(,)分隔,具体格式为
acs:ram::<account_id>:role/RoleName,acs:ram::<account_id>:saml-provider/ProviderName
。其中,RAM角色ARN从步骤三:在阿里云创建RAM角色获取,身份供应商ARN从步骤二:在阿里云创建身份提供商获取,<account_id>为阿里云账号ID。说明 如果一个用户对应多个RAM角色,此处可配置多组值。每个RAM角色ARN和其对应的身份提供商ARN为一组值,多组值之间用半角分号(;)分隔。例如:acs:ram::125022144354****:role/reader-onelogin,acs:ram::125022144354****:saml-provider/OneLogin;acs:ram::125022144354****:role/administrator-onelogin,acs:ram::125022144354****:saml-provider/OneLogin;acs:ram::158622887609****:role/finance,acs:ram::158622887609****:saml-provider/OneLogin2
。 - 为用户分配应用。
- 在Applications页面,单击
。
- 选择步骤一:在OneLogin创建应用创建的应用(LoginToAliyun),然后单击Continue。
- 在弹出的对话框中,单击Save。
- 在Applications页面,单击
- 在Users页面的右上角,单击右上角的Save User。
- 重复步骤4~6,为其他OneLogin普通用户配置Aliyun Roles for SSO属性值并分配应用。
结果验证
- 使用步骤五:在OneLogin创建用户并分配应用创建的用户(jacklee)登录OneLogin。
- 单击应用(LoginToAliyun)。如果成功跳转到您设置的RelayState对应页面(或默认的阿里云控制台首页),则说明登录成功。说明 如果您在步骤五:在OneLogin创建用户并分配应用中为用户设置了多个角色,则需要先选择登录角色,才能访问阿里云。