本文提供一个以Google Workspace与阿里云进行用户SSO的示例,帮助您理解企业IdP与阿里云进行SSO的端到端配置流程。
步骤一:在阿里云获取SAML服务提供商元数据
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择 。
单击用户SSO页签,在SAML 服务提供商元数据区域,复制当前阿里云账号的元数据URL。
在新的浏览器窗口中打开复制的链接,将元数据XML文件另存到本地。
说明元数据XML文件保存了阿里云作为一个SAML服务提供商的访问信息。您需要记录XML文件中
EntityDescriptor
元素的entityID
属性值和AssertionConsumerService
元素的Location
属性值,以便后续在Google Workspace的配置中使用。
步骤二:在Google Workspace创建支持SAML SSO的应用
使用超级管理员登录Google Workspace管理控制台。
在左侧导航栏,选择 。
单击Add app页签,然后单击Add custom SAML app。
在Add custom SAML app页面,创建支持SAML SSO的应用。
在App details页面,输入应用名称(例如:AlibabaCloudUserSSO),然后单击CONTINUE。
在 Google Identity Provider details页面,单击DOWNLOAD METADATA,下载元数据文档,然后单击CONTINUE。
在Service provider details页面,输入ACS URL和Entity ID,然后单击CONTINUE。
ACS URL:为步骤一:在阿里云获取SAML服务提供商元数据中记录的
Location
。Entity ID:为步骤一:在阿里云获取SAML服务提供商元数据中记录的
entityID
。Start URL:用来配置用户SSO登录成功后跳转到的阿里云页面。
说明出于安全原因,您只能填写阿里巴巴旗下的域名URL作为Default RelayState的值,例如:*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com,否则配置无效。若不配置,默认跳转到阿里云控制台首页。
在Attribute mapping页面,单击FINISH。
在创建成功的应用详情页,单击User access。
可选:在应用名称下方的Organizational Units区域,选择要使用此应用进行单点登录的组织单元。默认为整个组织。
在Service status区域,选中ON for everyone。
说明如果您设置了第6步,即指定了组织单元,则此处选中ON。
点击SAVE。
步骤三:在阿里云开启用户SSO
在RAM控制台的左侧导航栏,选择 。
单击用户SSO页签,在SSO功能状态区域,单击开启。
说明用户SSO是一个全局功能,开启后,所有RAM用户都需要使用SSO登录。 如果您是通过RAM用户配置的,请先保留为关闭状态,您需要先完成RAM用户的创建,以免配置错误导致自己无法登录。您也可以通过阿里云账号(主账号)进行配置来规避此问题。
在元数据文档区域,单击上传元数据,上传从步骤二:在Google Workspace创建支持SAML SSO的应用中获取的IdP元数据。
在辅助域名区域,单击编辑,然后开启辅助域名并配置辅助域名为Google Workspace中的用户名Email后缀。
说明如果您的Google Workspace中存在多种Email后缀的用户,则只有以此处配置的后缀结尾的Email地址可以登录到阿里云。
步骤四:在Google Workspace创建用户
在Google Workspace的左侧导航栏,选择 。
单击Add new user。
在User Information页面,填写First name、Last name和Primary email(例如:u2@example.com),然后选择Organizational unit,最后单击ADD NEW USER。
说明如果您在步骤二:在Google Workspace创建支持SAML SSO的应用中指定了使用应用的组织单元,则此处的Organizational unit需要保持一致。
步骤五:在阿里云创建RAM用户
在RAM控制台的左侧导航栏,选择 。
在用户页面,单击创建用户。
在创建用户页面,输入登录名称和显示名称。
说明请确保RAM用户的登录名称前缀与Google Workspace中的用户名前缀保持一致,本示例中为u2。
在访问方式区域,选择控制台访问,并设置登录密码等参数。
单击确定。
验证结果
完成上述配置后,您可以从阿里云或Google Workspace发起SSO登录。
从阿里云侧发起登录
在RAM控制台的概览页,复制RAM用户的登录地址。
将鼠标悬停在右上角头像的位置,单击退出登录或使用新的浏览器打开复制的RAM用户登录地址。
单击使用企业账号登录,系统会自动跳转到Google Workspace的登录页面。
在Google Workspace的登录界面,输入用户名(u2@example.com)和密码,单击登录。
系统将自动SSO登录并重定向到您指定的Start URL页面。如果未指定Start URL或超出允许范围,则系统会访问如下阿里云控制台首页。如果出现以下页面,表示配置成功。
从Google Workspace侧发起登录
使用Google Workspace用户登录Google Workspace,在Google Workspace的主页,找到并单击步骤二:在Google Workspace创建支持SAML SSO的应用创建的应用。
系统将自动SSO登录并重定向到您指定的Start URL页面。如果未指定Start URL或超出允许范围,则系统会访问以下阿里云控制台首页。如果出现以下页面,表示配置成功。