SAML 集成

步骤一 配置 SAML 连接

为了建立云效 SP（Service Provider，服务提供方）对企业 IdP（Identity Provider，SAML身份源）的连接，需要配置以下信息：

• SAML 元数据文档地址：企业 IdP 元数据地址。

• 公钥：云效 SP 的自签名证书，public.crt 的文件内容。

• 私钥：云效 SP 私钥，rsa_private.key 的文件内容。

私钥和云效自签名证书的生成命令如下：

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 3650 -out public.crt

填写完成后，单击下一步。

步骤二 配置账号绑定与属性映射

1. 配置账号唯一标识：填写 SAML 中唯一识别用户的属性字段，配置后不可修改。

2. 设置账号绑定方式：目前提供 3 种账号识别和绑定方式：

   • 自动绑定邮箱相同的账号：按照同步策略，自动将云效、SAML 中邮箱账号相同的用户绑定在一起。

   • 自动绑定账号 ID 相同的账号：按照同步策略，自动将云效、SAML 中账号 ID 相同的用户绑定在一起。

   • 自动绑定工号相同的账号：按照同步策略，自动将云效、SAML 中工号相同的用户绑定在一起。

无论选择哪一种账号识别和绑定方式，均需要保证其对应的属性字段的唯一性和存在性，因为云效将按照选择的方式进行账号的一一匹配，如下图为选择自动绑定邮箱相同的账号的绑定过程：

3. 设置账号同步类型：根据是否需要创建新账号，以决定映射必填的用户属性字段范围，开启映射的字段将自动同步三方数据，云效侧不允许编辑。

   • 允许创建新账号和绑定已有账号：允许新建账号，在下一步用户属性映射时，需要确保姓名、账号 ID 以及用于账号绑定的字段必填。

   • 无需创建新账号，仅绑定已有账号：不允许新建账号，在下一步用户属性映射时，仅需确保用于账号绑定的字段必填。

4. 配置用户属性映射的字段，云效将按照用户属性字段映射关系进行信息映射，已设置映射字段的属性自动同步三方，云效侧不再允许编辑。

填写完成后，单击下一步。

步骤三 开启单点登录服务

在配置过程中，单点登录的功能默认不开启。开启后，可进行 SAML 单点登录相关配置：

• 修改 SAML 显示名称，修改后云效系统将按照修改的内容显示 SAML 信息。

• 开启单点登出（SLO）：默认不开启单点登出，勾选后需要将云效的单点登出地址配置在 SAML IdP 中方可完成 SLO 配置，完成后将可以保持云效与 SAML IdP 的登出状态同步。

如果选择不开启单点登录，也可保存配置，后续可以在 SAML 集成详情页面中开启服务。

当完成所有配置后，单击保存配置按钮即可完成 SAML 集成的配置。

步骤四 配置元数据

为了建立企业 IdP 对云效的信任，需要在企业 IdP 中配置云效为可信 SAML SP 并进行 SAML 断言属性的配置。在企业 IdP 中创建一个 SAML SP，并根据实际情况选择下面任意一种方式配置云效为信赖方：

• 直接复制下方云效作为 SAML SP 的 SAML 服务提供方元数据的 URL 地址，配置到 SAML 服务中。

• 如果企业使用的 IdP 不支持 URL 配置，可以下载SAML 服务提供方元数据文件并上传到 IdP。

• 如果企业使用的 IdP 不支持元数据文件上传，则需要手动配置以下参数：

  • Entity ID：下载的 SAML 服务提供方元数据文件中，md:EntityDescriptor 元素的 entityID 属性值。

  • ACS URL：下载的 SAML 服务提供方元数据文件中，md:AssertionConsumerService 元素的 Location 属性值。

  • SLO URL：下载的 SAML 服务提供方元数据文件中，SingleLogoutService 的 Location 属性值。