日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
產品文檔
輸入文檔關鍵字查找
首頁 云SSO 操作指南 集成外部身份 單點登錄 單點登錄示例 AD FS與云SSO進行單點登錄的示例

AD FS與云SSO進行單點登錄的示例

更新時間:
一鍵部署
我的收藏

本文為您提供AD FS(Active Directory Federation Service)與云SSO進行單點登錄(SSO登錄)的示例。

背景信息

假設企業使用Active Directory(AD)進行本地用戶管理,且已在阿里云資源目錄(RD)中搭建了多賬號體系結構。企業希望經過配置,使AD的用戶通過SSO登錄的方式直接訪問資源目錄(RD)指定成員賬號中的指定資源。

本文以在Windows Server 2012 R2 ECS實例上搭建的AD FS為例,為您介紹如何配置AD FS與阿里云,從而實現SSO登錄。其中,AD FS是身份提供商(IdP),阿里云云SSO是服務提供商(SP)。

準備工作

配置SSO登錄前,您需要完成以下工作:

  1. 在Windows Server 2012 R2 ECS實例上搭建以下服務器。

    • Active Directory域服務(AD DS):提供對域用戶和域設備等對象的創建、查詢和修改等功能。

    • Active Directory Federation Service(AD FS):提供配置SSO信賴方的功能,并對配置好的信賴方提供SSO認證。

      重要

      本文中涉及到Microsoft Active Directory配置的部分屬于建議,僅用于幫助理解阿里云SSO登錄的端到端配置流程,阿里云不提供Microsoft Active Directory配置的咨詢服務。

  2. 在云SSO創建用戶并完成權限配置。

    1. 在云SSO創建同名用戶。

      具體操作,請參見創建用戶

      說明

      用戶名會用于用戶登錄。當您進行SSO登錄時,云SSO的用戶名應該與AD FS中用于SSO登錄的字段保持一致。更多信息,請參見步驟三:在AD FS配置SAML斷言屬性

    2. 在云SSO創建訪問配置,定義權限策略。

      具體操作,請參見創建訪問配置

    3. 為用戶在RD賬號上授權。

      具體操作,請參見在RD賬號上授權

步驟一:在云SSO獲取服務提供商元數據

  1. 登錄云SSO控制臺

  2. 在左側導航欄,單擊設置

  3. SSO登錄區域,下載服務提供商(SP)元數據文檔。

步驟二:在AD FS將阿里云配置為信賴方

  1. 登錄部署了AD FS的ECS實例。

  2. 打開服務器管理器

  3. 在左側導航欄,單擊AD FS

  4. 在右上角的菜單欄,選擇工具 > AD FS管理

  5. AD FS管理工具中,添加阿里云為信賴方。

    1. 在左側導航欄,鼠標右鍵單擊信賴方信任,然后單擊添加信賴方信任

    2. 添加信賴方信任向導窗口,選擇聲明感知,然后單擊啟動

    3. 選擇從文件導入有關信賴方的數據,然后單擊瀏覽,導入從步驟一:在云SSO獲取服務提供商元數據獲取的元數據文檔,最后單擊下一步

    4. 輸入自定義的信賴方顯示名稱,然后單擊下一步

      本示例中使用名稱CloudSSODemo。

    5. 根據您的需要,選擇訪問控制策略,然后單擊下一步

      本示例中選擇允許所有人

    6. 檢查配置信息,然后單擊下一步

    7. 單擊關閉

步驟三:在AD FS配置SAML斷言屬性

在本示例中,為了使阿里云能使用SAML響應定位到正確的云SSO用戶,SAML斷言中的NameID字段取值為AD用戶的UPN(User Principal Name)。

  1. 在信賴方CloudSSODemo上,鼠標右鍵單擊編輯聲明頒發策略

  2. 單擊添加規則

    說明

    頒發轉換規則(Issuance Transform Rules)是指如何將一個已知的用戶屬性,經過轉換后頒發為SAML斷言中的屬性。由于您要將AD FS中的用戶UPN頒發為NameID,因此需要添加一個新的規則。

  3. 添加轉換聲明規則向導窗口,選擇聲明規則模板轉換傳入聲明,然后單擊下一步

  4. 配置聲明信息。

    AD FS屬性映射

    1. 輸入自定義的聲明規則名稱。

    2. 傳入聲明類型下拉列表,選擇UPN

    3. 傳出聲明類型下拉列表,選擇名稱ID

    4. 傳出聲明ID格式下拉列表,選擇電子郵件

    5. 選擇傳遞所有聲明值

    6. 單擊完成

  5. 單擊確定

步驟四:在AD FS獲取身份提供商元數據

在部署了AD FS的ECS實例中,訪問https://<ADFS-server>/federationmetadata/2007-06/federationmetadata.xml,獲取身份提供商(IdP)元數據文檔。

說明

<ADFS-server>是AD FS服務器域名或IP地址。

步驟五:在云SSO啟用SSO登錄

  1. 在云SSO的左側導航欄,單擊設置

  2. SSO登錄區域,單擊配置身份提供商信息

  3. 配置身份提供商信息對話框,選擇上傳元數據文檔

  4. 單擊上傳文件,上傳從步驟四:在AD FS獲取身份提供商元數據獲取的IdP元數據文檔。

    說明

    如果元數據文檔超過大小限制,您可以嘗試刪除<fed:ClaimTypesRequested><fed:ClaimTypesOffered>中的所有內容。

  5. 打開SSO登錄開關,啟用SSO登錄。

    說明

    啟用SSO登錄后,用戶名和密碼登錄將自動禁用,即云SSO用戶將不能通過用戶名和密碼登錄。而且,SSO登錄是一個全局功能,啟用后,所有用戶都需要SSO登錄。

驗證結果

完成上述配置后,您可以從阿里云或AD FS發起SSO登錄。

  • 從阿里云發起SSO登錄

    1. 云SSO控制臺概覽頁,復制用戶登錄地址。

    2. 使用新的瀏覽器打開復制的用戶登錄地址。

    3. 單擊跳轉,系統會自動跳轉到AD FS的登錄頁面。云SSO登錄跳轉

    4. 使用AD用戶的用戶名和密碼登錄。

      系統將自動SSO登錄到下圖所示的云SSO用戶門戶。

    5. 以RAM角色登錄頁簽,單擊目標RD賬號權限列的顯示詳情

      RD賬號列表

    6. 在權限面板,單擊目標權限操作列的登錄

    7. 訪問RD賬號中有權限的資源。

  • 從AD FS發起SSO登錄

    1. 登錄AD FS SSO登錄門戶。

      SSO登錄門戶地址為https://<ADFS-server>/adfs/ls/IdpInitiatedSignOn.aspx

      說明

      • <ADFS-server>是AD FS服務器域名或IP地址。

      • 如果SSO登錄門戶頁面不可用,您可以通過PowerShell的命令Set-AdfsProperties -EnableIdpInitiatedSignonPage $True開啟該頁面。

    2. 選擇站點為步驟二:在AD FS將阿里云配置為信賴方創建的CloudSSODemo,然后單擊登錄

    3. 輸入AD用戶的用戶名和密碼,然后單擊登錄

      系統將自動SSO登錄到下圖所示的云SSO用戶門戶。

    4. 以RAM角色登錄頁簽,單擊目標RD賬號權限列的顯示詳情

      RD賬號列表

    5. 在權限面板,單擊目標權限操作列的登錄

    6. 訪問RD賬號中有權限的資源。