阿里云與企業進行用戶SSO時,阿里云是服務提供商(SP),而企業自有的身份管理系統則是身份提供商(IdP)。通過用戶SSO,企業員工在登錄后,將以RAM用戶訪問阿里云。
基本流程
當管理員在完成用戶SSO的相關配置后,企業員工Alice可以通過如下圖所示的方法登錄到阿里云。
Alice使用瀏覽器登錄阿里云,阿里云將SAML認證請求返回給瀏覽器。
瀏覽器向IdP轉發SAML認證請求。
IdP提示Alice登錄,并在Alice登錄成功后生成SAML響應返回給瀏覽器。
瀏覽器將SAML響應轉發給SSO服務。
SSO服務通過SAML互信配置,驗證SAML響應的數字簽名來判斷SAML斷言的真偽,并通過SAML斷言的
NameID元素值,匹配到對應阿里云賬號中的RAM用戶。SSO服務向瀏覽器返回控制臺的URL。
瀏覽器重定向到阿里云控制臺。
說明在第1步中,企業員工從阿里云發起登錄并不是必須的。企業員工也可以在企業自有IdP的登錄頁直接單擊登錄到阿里云的鏈接,向企業IdP發出登錄到阿里云的SAML認證請求。
配置步驟
為了建立阿里云與企業IdP之間的互信關系,需要進行阿里云作為SP的SAML配置和企業IdP的SAML配置,配置完成后才能進行用戶SSO。
為了建立阿里云對企業IdP的信任,需要將企業IdP配置到阿里云。
更多信息,請參見進行用戶SSO時阿里云SP的SAML配置。
為了建立企業IdP對阿里云的信任,需要在企業IdP中配置阿里云為可信SAML SP并進行SAML斷言屬性的配置。
更多信息,請參見進行用戶SSO時企業IdP的SAML配置。
企業IdP和阿里云均配置完成后,企業需要使用SDK、CLI或登錄到RAM控制臺創建與企業IdP匹配的RAM用戶。
更多信息,請參見創建RAM用戶。
配置示例
以下為您提供了常見的企業IdP與阿里云進行用戶SSO的配置示例: