單點登錄概述
云SSO支持基于SAML 2.0的單點登錄(SSO登錄)。阿里云是服務提供商(SP),而企業自有的身份管理系統則是身份提供商(IdP)。通過SSO登錄,企業員工可以使用IdP中的用戶身份直接登錄云SSO。云SSO可以一次性配置企業身份管理系統與阿里云的SSO登錄,配置方式非常簡單。
使用流程
在云SSO中獲取服務提供商(SP)元數據。
您可以在云SSO下載和查看SP元數據。具體操作,請參見獲取服務提供商(SP)元數據。
在企業IdP中配置阿里云為可信SAML SP并配置SAML斷言屬性。
部分IdP配置完成后,還需要將用戶分配到應用。不同企業IdP的配置方法不同。具體操作,請參見各企業IdP的幫助文檔。
在企業IdP中獲取身份提供商(IdP)的SAML元數據。
您可以在企業IdP下載SAML元數據文檔,不同企業IdP的獲取方法不同。具體操作,請參見各企業IdP的幫助文檔。
在云SSO中配置企業IdP為可信SAML IdP。
您需要手動配置企業IdP的SAML信息或直接上傳企業IdP的SAML元數據文件。其中手動配置僅能配置單點登錄所必須的屬性:Entity ID、登錄地址和簽名證書。如果您需要配置更多IdP信息,請在IdP端生成元數據文件并使用上傳元數據的方式進行配置。
在云SSO中啟用單點登錄。
具體操作,請參見啟用單點登錄。
通過SCIM同步用戶或在云SSO中創建IdP的同名用戶。
如果IdP中有大量用戶,且IdP支持SCIM協議,您可以直接將IdP中的用戶同步到云SSO。SCIM同步示例,請參見通過SCIM同步Azure AD用戶或用戶組的示例和通過SCIM同步Okta用戶或用戶組的示例。
如果IdP中用戶較少,您可以直接在云SSO創建IdP的同名用戶,即將SAML斷言屬性中的
NameID
值設置為云SSO用戶的用戶名。具體操作,請參見創建用戶。
使用企業IdP的用戶單點登錄到阿里云。