本文介紹如何使用 IDaaS 實現 AD 域賬號登錄三方應用。
場景說明
IDaaS 擁有 AD 域數據同步以及委托認證能力,可以快速實現使用 AD/LDAP 認證登錄數百款應用。
首先將 AD 賬號同步到 IDaaS,之后將希望單點的應用對接到IDaaS。完成這兩步,企業最終實現使用 AD 域賬號登錄三方應用。
本文介紹的場景使用阿里用戶 SSO 作為三方應用,所有 IDaaS 能力均可免費使用。
落地到實際場景中,是否是免費內容取決于您對接的三方應用是否是免費模板,詳情可查看各版本能力項。
操作步驟
步驟一、開通 IDaaS 實例
在正式開始應用配置之前,需要先創建 IDaaS 實例,請您參考免費開通實例完成創建。
步驟二、AD 數據同步到 IDaaS
您可以使用AD或者OpenLDAP賬戶認證登錄,認證登錄的前提是將對應的賬戶拉取到IDaaS 中來,本文以 AD 作為示例,實際對接的時候請根據您企業的實情自行選擇:
將 AD 賬戶同步到IDaaS:綁定 AD
將 OpenLDAP 賬戶同步到IDaaS:綁定 OpenLDAP
請確保委托認證該項功能是打開的狀態。
完成同步后,在賬戶界面即可看到同步完成的賬戶。
?
步驟三、創建 IDaaS 應用
創建 IDaaS 應用,并配置單點登錄,本文以阿里云用戶 SSO 為例。
更多 阿里云用戶 SSO 配置和用法請參考:阿里云用戶 SSO
請注意在綁定子賬戶的時候,需要將導入 IDaaS 中的 AD 賬戶作為 IDaaS 賬戶名,應用賬戶為阿里云子賬戶前綴。
步驟四:授權 IDaaS 應用
將 IDaaS 應用授權給需要訪問該應用的賬戶,可在【單點登錄】中設置為全員可訪問,也可在【授權】中根據賬戶或組織授權。只有擁有權限的賬戶才可訪問應用。
如果對接的是 SAML 應用(例如阿里云 RAM),可在【單點登錄】中設置【應用賬戶】。用戶在進行單點登錄時,IDaaS 會將用戶的 IDaaS 賬戶名或應用賬戶名傳遞給應用,應用根據該參數找到應用內的賬戶并實現登錄,從而實現單點登錄。因此,如果應用中有存量賬戶,請檢查能否和 IDaaS 賬戶對應;如果無法對應,請提前為用戶在應用中創建賬戶。
更多信息可參考:單點登錄通用說明
步驟五、配置登錄方式
在 IDaaS 控制臺點擊【登錄】
開啟 AD 委托認證
設置優先登錄方式(可選)
如果您希望默認使用 AD 賬戶登錄,可以將優先登錄方式設置為郵箱登錄方式
步驟六:發起單點登錄
SP 發起
訪問 RAM 用戶登錄地址,輸入子賬戶用戶名,點擊【下一步】
點擊【使用企業賬號登錄】跳轉到 IDaaS 登錄界面
如果設置了優先使用 AD 登錄,則會直接展示輸入 AD 賬密界面,如果沒有進行設置,請手動切換至 AD 對應的認證源
IDP發起
訪問IDaaS 用戶門戶地址
如果設置了優先使用AD 登錄,則會直接展示輸入AD 賬密界面,如果沒有進行設置,請手動切換至AD 對應的認證源
登錄到IDaaS 用戶端,點擊對應的應用圖標登錄