使用GoogleWorkspace进行用户SSO单点登录_访问控制(RAM)-阿里云帮助中心

本文提供一个以Google Workspace与阿里云进行用户SSO的示例，帮助您理解企业IdP与阿里云进行SSO的端到端配置流程。

步骤一：在阿里云获取SAML服务提供商元数据

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择集成管理 > SSO管理。
单击用户SSO页签，在SAML 服务提供商元数据区域，复制当前阿里云账号的元数据URL。
在新的浏览器窗口中打开复制的链接，将元数据XML文件另存到本地。
说明
元数据XML文件保存了阿里云作为一个SAML服务提供商的访问信息。您需要记录XML文件中EntityDescriptor元素的entityID属性值和AssertionConsumerService元素的Location属性值，以便后续在Google Workspace的配置中使用。

步骤二：在Google Workspace创建支持SAML SSO的应用

使用超级管理员登录Google Workspace管理控制台。
在左侧导航栏，选择Apps > Web and mobile apps。
单击Add app页签，然后单击Add custom SAML app。
在Add custom SAML app页面，创建支持SAML SSO的应用。
1. 在App details页面，输入应用名称（例如：AlibabaCloudUserSSO），然后单击CONTINUE。
2. 在 Google Identity Provider details页面，单击DOWNLOAD METADATA，下载元数据文档，然后单击CONTINUE。
3. 在Service provider details页面，输入ACS URL和Entity ID，然后单击CONTINUE。
  - ACS URL：为步骤一：在阿里云获取SAML服务提供商元数据中记录的Location。
  - Entity ID：为步骤一：在阿里云获取SAML服务提供商元数据中记录的entityID。
  - Start URL：用来配置用户SSO登录成功后跳转到的阿里云页面。
    说明
    出于安全原因，您只能填写阿里巴巴旗下的域名URL作为Default RelayState的值，例如：*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com，否则配置无效。若不配置，默认跳转到阿里云控制台首页。
4. 在Attribute mapping页面，单击FINISH。
在创建成功的应用详情页，单击User access。
可选：在应用名称下方的Organizational Units区域，选择要使用此应用进行单点登录的组织单元。默认为整个组织。
在Service status区域，选中ON for everyone。
说明
如果您设置了第6步，即指定了组织单元，则此处选中ON。
点击SAVE。

步骤三：在阿里云开启用户SSO

在RAM控制台的左侧导航栏，选择集成管理 > SSO管理。
单击用户SSO页签，在SSO功能状态区域，单击开启。
说明
用户SSO是一个全局功能，开启后，所有RAM用户都需要使用SSO登录。如果您是通过RAM用户配置的，请先保留为关闭状态，您需要先完成RAM用户的创建，以免配置错误导致自己无法登录。您也可以通过阿里云账号（主账号）进行配置来规避此问题。
在元数据文档区域，单击上传元数据，上传从步骤二：在Google Workspace创建支持SAML SSO的应用中获取的IdP元数据。
在辅助域名区域，单击编辑，然后开启辅助域名并配置辅助域名为Google Workspace中的用户名Email后缀。
说明
如果您的Google Workspace中存在多种Email后缀的用户，则只有以此处配置的后缀结尾的Email地址可以登录到阿里云。

步骤四：在Google Workspace创建用户

在Google Workspace的左侧导航栏，选择Directory > Users。
单击Add new user。
在User Information页面，填写First name、Last name和Primary email（例如：u2@example.com），然后选择Organizational unit，最后单击ADD NEW USER。
说明
如果您在步骤二：在Google Workspace创建支持SAML SSO的应用中指定了使用应用的组织单元，则此处的Organizational unit需要保持一致。

步骤五：在阿里云创建RAM用户

在RAM控制台的左侧导航栏，选择身份管理 > 用户。
在用户页面，单击创建用户。
在创建用户页面，输入登录名称和显示名称。
说明
请确保RAM用户的登录名称前缀与Google Workspace中的用户名前缀保持一致，本示例中为u2。
在访问方式区域，选择控制台访问，并设置登录密码等参数。
单击确定。

验证结果

完成上述配置后，您可以从阿里云或Google Workspace发起SSO登录。

从阿里云侧发起登录

在RAM控制台的概览页，复制RAM用户的登录地址。
将鼠标悬停在右上角头像的位置，单击退出登录或使用新的浏览器打开复制的RAM用户登录地址。
单击使用企业账号登录，系统会自动跳转到Google Workspace的登录页面。
在Google Workspace的登录界面，输入用户名（u2@example.com）和密码，单击登录。

系统将自动SSO登录并重定向到您指定的Start URL页面。如果未指定Start URL或超出允许范围，则系统会访问如下阿里云控制台首页。如果出现以下页面，表示配置成功。

SSO配置验证

从Google Workspace侧发起登录

使用Google Workspace用户登录Google Workspace，在Google Workspace的主页，找到并单击步骤二：在Google Workspace创建支持SAML SSO的应用创建的应用。

系统将自动SSO登录并重定向到您指定的Start URL页面。如果未指定Start URL或超出允许范围，则系统会访问以下阿里云控制台首页。如果出现以下页面，表示配置成功。

SSO配置验证