本文為您介紹如何在IDaaS中配置阿里云用戶單點登錄。使用用戶SSO,您的企業成員將以RAM用戶訪問阿里云。
操作步驟
一、創建應用
登錄IDaaS管理控制臺。
選擇IDaaS實例并在操作區域下方單擊訪問控制臺。
前往,搜索到阿里云用戶 SSO應用模板。單擊添加應用。
確認應用名稱,即可立即添加。
?
二、配置應用單點登錄
添加應用后,將自動跳轉到應用單點登錄配置頁,您將在此處進行配置。
輸入阿里云主賬號id可單擊頁面右上角頭像處獲取。選擇應用賬號名屬性,用戶進行單點登錄時,將以該字段作為主鍵,對應至阿里云中的 RAM用戶,從而實現在阿里云中的登錄。如果僅用于測試,建議授權范圍選擇全員可訪問,暫時跳過為IDaaS賬號分配權限的步驟。
在應用配置信息中,下載IdP 元數據,保存到電腦中。此文件用于建立阿里云對IDaaS的信任關系。
如果您IDaaS賬戶名與RAM用戶名( RAM子賬戶前綴)一致,應用賬戶處可選擇IDaaS賬戶名 。
如果您IDaaS賬戶名與RAM用戶名不一致, 應用賬戶處選擇應用賬戶 ,在應用賬戶界面綁定對應的賬戶關系,選擇單點登錄的IDaaS賬戶,填寫RAM用戶名前綴。
三、在阿里云中配置用戶SSO
登錄阿里云 RAM控制臺。
在左側導航欄中,單擊SSO管理。
在用戶 SSO頁簽下,可查看當前SSO登錄設置相關信息。
單擊編輯,開啟SSO 功能狀態,上傳步驟二中在IDaaS下載的IdP 元數據,無需開啟輔助域名。
單擊確定,即可完成配置。
四、在阿里云中配置子用戶權限(可選)
您可能擁有存量的阿里云子用戶,或希望將IDaaS中賬戶同步至阿里云(詳見文檔:賬戶同步-事件回調),此時請按需在左側菜單欄的用戶中為用戶分配權限,以便用戶擁有恰當的權限訪問阿里云的資源。如果僅為了測試單點登錄能力,請忽略此步驟。
五、嘗試SSO
您已經可以開始阿里云用戶SSO。有如下兩種發起模式。
從IDaaS發起(IdP發起):使用已擁有阿里云用戶SSO應用權限的IDaaS賬戶,登錄到IDaaS應用門戶頁,單擊頁面上的圖標,即可發起單點登錄,成功登錄至阿里云。
從阿里云發起(SP發起):使用匿名瀏覽器,打開阿里云登錄頁,單擊下方RAM用戶登錄,輸入阿里云用戶名并單擊下一步。
此時將出現提示頁面,單擊使用企業賬號登錄或復制登錄鏈接,如果您已登錄IDaaS應用門戶,則可直接登錄至阿里云;否則將跳轉至IDaaS的登錄頁,在IDaaS中完成登錄后自動完成阿里云的登錄。
?