使用Google Workspace进行用户SSO的示例

步骤一：在阿里云获取SAML服务提供商元数据

1. 使用阿里云账号登录RAM控制台。
2. 在左侧导航栏，选择集成管理 > SSO管理。
3. 在SSO管理页面，单击用户SSO页签。
4. 在SSO登录设置区域，复制SAML服务提供商元数据URL。
5. 在新的浏览器窗口中打开复制的链接，将元数据XML文件另存到本地。
   说明 元数据XML文件保存了阿里云作为一个SAML服务提供商的访问信息。您需要记录XML文件中EntityDescriptor元素的entityID属性值和AssertionConsumerService元素的Location属性值，以便后续在Google Workspace的配置中使用。

步骤二：在Google Workspace创建支持SAML SSO的应用

1. 使用超级管理员登录Google Workspace管理控制台。
2. 在左侧导航栏，选择Apps > Web and mobile apps。
3. 单击Add app页签，然后单击Add custom SAML app。
4. 在Add custom SAML app页面，创建支持SAML SSO的应用。
   1. 在App details页面，输入应用名称（例如：AlibabaCloudUserSSO），然后单击CONTINUE。
   2. 在 Google Identity Provider details页面，单击DOWNLOAD METADATA，下载元数据文档，然后单击CONTINUE。
   3. 在Service provider details页面，输入ACS URL和Entity ID，然后单击CONTINUE。
      • ACS URL：为步骤一：在阿里云获取SAML服务提供商元数据中记录的Location。
      • Entity ID：为步骤一：在阿里云获取SAML服务提供商元数据中记录的entityID。
      • Start URL：用来配置用户SSO登录成功后跳转到的阿里云页面。
        说明 出于安全原因，您只能填写阿里巴巴旗下的域名URL作为Default RelayState的值，例如：*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com，否则配置无效。若不配置，默认跳转到阿里云控制台首页。
   4. 在Attribute mapping页面，单击FINISH。
5. 在创建成功的应用详情页，单击User access。
6. 可选：在应用名称下方的Organizational Units区域，选择要使用此应用进行单点登录的组织单元。默认为整个组织。
7. 在Service status区域，选中ON for everyone。
   说明 如果您设置了第6步，即指定了组织单元，则此处选中ON。
8. 点击SAVE。

步骤三：在阿里云开启用户SSO

1. 在RAM控制台的左侧导航栏，选择集成管理 > SSO管理。
2. 在SSO管理页面，单击用户SSO页签。
3. 在SSO登录设置区域，单击编辑。
4. 在编辑SSO登录设置面板的SSO功能状态区域，单击开启。
   说明 用户SSO是一个全局功能，开启后，所有RAM用户都需要使用SSO登录。 如果您是通过RAM用户配置的，请先保留为关闭状态，您需要先完成RAM用户的创建，以免配置错误导致自己无法登录。您也可以通过阿里云账号（主账号）进行配置来规避此问题。
5. 在元数据文档区域，单击上传文件，上传从步骤二：在Google Workspace创建支持SAML SSO的应用中获取的IdP元数据。
6. 在辅助域名区域，单击开启，并配置辅助域名为Google Workspace中的用户名Email后缀。
   说明 如果您的Google Workspace中存在多种Email后缀的用户，则只有以此处配置的后缀结尾的Email地址可以登录到阿里云。
7. 单击确定。

步骤四：在Google Workspace创建用户

1. 在Google Workspace的左侧导航栏，选择Directory > Users。
2. 单击Add new user。
3. 在User Information页面，填写First name、Last name和Primary email（例如：u2@example.com），然后选择Organizational unit，最后单击ADD NEW USER。
   说明 如果您在步骤二：在Google Workspace创建支持SAML SSO的应用中指定了使用应用的组织单元，则此处的Organizational unit需要保持一致。

步骤五：在阿里云创建RAM用户

1. 在RAM控制台的左侧导航栏，选择身份管理 > 用户。
2. 在用户页面，单击创建用户。
3. 在创建用户页面，输入登录名称和显示名称。
   说明 请确保RAM用户的登录名称前缀与Google Workspace中的用户名前缀保持一致，本示例中为u2。
4. 在访问方式区域，选择控制台访问，并设置登录密码等参数。
5. 单击确定。

验证结果

完成上述配置后，您可以从阿里云或Google Workspace发起SSO登录。

• 从阿里云侧发起登录
  1. 在RAM控制台的概览页，复制RAM用户的登录地址。
  2. 将鼠标悬停在右上角头像的位置，单击退出登录或使用新的浏览器打开复制的RAM用户登录地址。
  3. 单击使用企业账号登录，系统会自动跳转到Google Workspace的登录页面。
  4. 在Google Workspace的登录界面，输入用户名（u2@example.com）和密码，单击登录。

  系统将自动SSO登录并重定向到您指定的Start URL页面。如果未指定Start URL或超出允许范围，则系统会访问如下阿里云控制台首页。如果出现以下页面，表示配置成功。

  
• 从Google Workspace侧发起登录

  使用Google Workspace用户登录Google Workspace，在Google Workspace的主页，找到并单击步骤二：在Google Workspace创建支持SAML SSO的应用创建的应用。

  系统将自动SSO登录并重定向到您指定的Start URL页面。如果未指定Start URL或超出允许范围，则系统会访问以下阿里云控制台首页。如果出现以下页面，表示配置成功。