配置PingIdentity與CloudSSO實現企業級SSO - CloudSSO

本文為您提供PingIdentity與雲SSO進行單點登入（SSO登入）的樣本。

背景資訊

假設企業使用PingIdentity作為身份供應商（IdP）系統管理使用者，並已在阿里雲資來源目錄（RD）中搭建多帳號體繫結構。企業希望經過配置，使PingIdentity中的使用者通過SSO登入的方式訪問資來源目錄指定成員帳號中的指定資源。

說明

本文中涉及的PingIdentity配置部分屬於建議，僅用於協助理解阿里雲SSO登入的端到端配置流程，阿里雲不提供PingIdentity配置的諮詢服務。

登入 PingIdentity 門戶，進入 Console 控制台
在左側導覽列，選擇 Enviroments .
在 Envrioments 頁面，建立新的Environment，所選 Cloud Service 須包含 PingOne SSO 。
進入新的 Environment，在左側導覽列，選擇 Applications -> Applications。
在Applications 頁面，單擊 + 號按鈕建立一個 Application
1. 在下方 Application Type 欄選擇 SAML Application，配置應用程式資訊。
2. 在 SAML Configuration 頁面，選擇 Import Metadata 上傳在步驟一中獲得的 SP中繼資料文檔。或者選擇 Manual Enter，在 ACS URL 中填入從步驟一中擷取的 ACS URL 值，在 Entity ID 中填入從步驟一中擷取的 Entity ID 值。
單擊 Save 進行儲存。

在 Application 頁面選中在步驟二中建立的 Application，在 Overview 頁簽下方點擊 Download Metadata 下載儲存中繼資料檔案。

如果沒有使用者，需要先建立使用者。
1. 在左側導覽列，選擇 Directory -> Users
2. 在Users頁面建立User，並分配合適的Groups。
（可選）在 Application 頁面選中在步驟二中建立的 Application，在 Access 頁簽為 Application 設定Group Membership Policy。若設定了 Group Membership Policy，在列表外的使用者組或不在任何使用者組內的使用者都無法登入雲SSO。

從PingIdentity 同步處理的使用者到雲SSO，或者在雲SSO建立同名使用者。具體如下：

如果您計劃使用者SSO登入後訪問資來源目錄指定成員帳號中的指定資源，您還需要建立訪問配置，並為使用者在RD帳號上授權。

完成上述配置後，您可以從阿里雲或 PingIdentity 發起SSO登入。

從阿里雲發起SSO登入。
1. 在雲SSO控制台的概覽頁，複製使用者登入地址。
2. 使用新的瀏覽器開啟複製的使用者登入地址。
3. 單擊跳轉，系統會自動跳轉到PingIdentity的登入頁面
4. 使用PingIdentity 使用者名稱和密碼登入。系統將自動SSO登入並重新導向到您指定的Default RelayState頁面。本樣本中未指定Default RelayState，系統會訪問雲SSO使用者門戶。
從PingIdentity發起SSO登入。
1. 在Applications頁面選中步驟二中建立的Application，在Overview頁簽下方複製Initiate Single Sign-On URL。
2. 使用新的瀏覽器開啟複製的登入地址。
3. 使用PingIdentity的使用者名稱和密碼登入。系統將自動SSO登入並重新導向到您指定的Default RelayState頁面。本樣本中未指定Default RelayState，系統會訪問雲SSO使用者門戶。