本文介紹如何使用 IDaaS 實現 AD 域賬號登錄三方應用。

場景說明

IDaaS 擁有 AD 域數據同步以及委托認證能力，可以快速實現使用 AD/LDAP 認證登錄數百款應用。

首先將 AD 賬號同步到 IDaaS，之后將希望單點的應用對接到IDaaS。完成這兩步，企業最終實現使用 AD 域賬號登錄三方應用。

說明

本文介紹的場景使用阿里用戶 SSO 作為三方應用，所有 IDaaS 能力均可免費使用。

落地到實際場景中，是否是免費內容取決于您對接的三方應用是否是免費模板，詳情可查看各版本能力項。

操作步驟

步驟一、開通 IDaaS 實例

在正式開始應用配置之前，需要先創建 IDaaS 實例，請您參考免費開通實例完成創建。

步驟二、AD 數據同步到 IDaaS

您可以使用AD或者OpenLDAP賬戶認證登錄，認證登錄的前提是將對應的賬戶拉取到IDaaS 中來，本文以 AD 作為示例，實際對接的時候請根據您企業的實情自行選擇：

將 AD 賬戶同步到IDaaS：綁定 AD

將 OpenLDAP 賬戶同步到IDaaS：綁定 OpenLDAP

重要

請確保委托認證該項功能是打開的狀態。

完成同步后，在賬戶界面即可看到同步完成的賬戶。

步驟三、創建 IDaaS 應用

創建 IDaaS 應用，并配置單點登錄，本文以阿里云用戶 SSO 為例。

更多阿里云用戶 SSO 配置和用法請參考：阿里云用戶 SSO

說明

請注意在綁定子賬戶的時候，需要將導入 IDaaS 中的 AD 賬戶作為 IDaaS 賬戶名，應用賬戶為阿里云子賬戶前綴。

步驟四：授權 IDaaS 應用

將 IDaaS 應用授權給需要訪問該應用的賬戶，可在【單點登錄】中設置為全員可訪問，也可在【授權】中根據賬戶或組織授權。只有擁有權限的賬戶才可訪問應用。

如果對接的是 SAML 應用（例如阿里云 RAM），可在【單點登錄】中設置【應用賬戶】。用戶在進行單點登錄時，IDaaS 會將用戶的 IDaaS 賬戶名或應用賬戶名傳遞給應用，應用根據該參數找到應用內的賬戶并實現登錄，從而實現單點登錄。因此，如果應用中有存量賬戶，請檢查能否和 IDaaS 賬戶對應；如果無法對應，請提前為用戶在應用中創建賬戶。

更多信息可參考：單點登錄通用說明