當企業需要統一管理開發人員的 IDE 帳號時,可通過 IDaaS 企業身份管理服務為 Qoder 配置單點登入(SSO),實現企業成員使用統一身份認證登入 Qoder。本文介紹基於 SAML 2.0 協議配置 Qoder SSO 的完整流程。
前提條件
已建立 IDaaS EIAM 執行個體。如未建立,請參考建立 IDaaS EIAM 執行個體。
需具備 Qoder 企業的管理員權限。
需完成 Qoder 中的Alibaba Mail網域名稱所有權驗證,確保只有符合Alibaba Mail網域名稱的使用者能夠加入組織。
需具備 Qoder Alibaba Mail網域名稱的 DNS 記錄修改許可權。
基於 SAML 2.0 協議配置 SSO
本章節介紹如何通過 IDaaS EIAM 應用市場中的 Qoder SSO 模板,基於 SAML 2.0 協議配置 Qoder 單點登入。
步驟一:Qoder 完成網域名稱驗證
登入 Qoder,點擊控制台右上方的個人帳號資訊,進入企業設定 -> 安全與身份模組。
找到網域名稱驗證模組,點擊右側添加按鈕,在彈出框中輸入Alibaba Mail網域名稱(如
example.com),單擊繼續。按照彈出框內容提示,在網域名稱中新增一條類型為TXT 的DNS記錄。
單擊驗證,等待驗證通過。
請務必先完成 Qoder 的網域名稱驗證,再進行後續 SSO 配置。
步驟二:擷取 Qoder 組織 ID
登入 Qoder,點擊控制台右上方的個人帳號資訊,進入企業設定。
在企業基本資料中找到並複製組織 ID。
步驟三:IDaaS 應用市場添加 Qoder SSO 模板
登入IDaaS控制台,尋找對應的IDaaS執行個體,單擊該執行個體操作列访问控制台,進入IDaaS執行個體。
導航至。
在添加应用应用市场中搜尋"Qoder",找到 Qoder 模板。
單擊添加应用。
輸入应用名称,單擊立即添加。
步驟四:IDaaS 中配置 Qoder 應用
導航至,選中 Qoder 應用,點擊進入Qoder應用詳情頁。
點擊切換到 登录访问頁面,在配置表單中填入Qoder 組織 ID(從步驟二中拷貝)。
配置应用账户:進入,單擊添加应用账户,找到要添加的賬戶名,單擊保存。
配置应用授权:進入,選擇授权类型,單擊添加授权,選擇需要使用 Qoder SSO 登入的账户、组或者组织机构,單擊保存授权。
步驟五:將 IDaaS 中繼資料配置到 Qoder
導航至,選中 Qoder 應用,點擊進入,查看应用配置信息。
登入 Qoder,進入企業設定 -> 安全與身份模組,根據上一步查看到的应用配置信息完成 Qoder 的 SAML IdP 中繼資料配置(推薦方式:直接輸入IdP SSO URL,Qoder 自動抓取所有參數)。
在 Qoder 中配置使用者屬性對應:
Qoder 欄位
映射 IDaaS 屬性
email
user.email
name
user.username
步驟六:Qoder 測試 SSO 並正式啟用
在 Qoder SAML 配置頁單擊測試 SSO。
確認測試通過後,開啟測試 SSO 右側的開關。
步驟七:SSO 驗證
使用 IDaaS 使用者帳號登入到阿里雲 IDaaS 應用門戶,找到 Qoder 應用,點擊發起 SSO 登入。
IDaaS 使用者的郵箱必須與 Qoder 中已驗證的Alibaba Mail網域名稱一致,否則無法完成帳號映射。例如 Qoder 驗證的網域名稱為 example.com,則 IDaaS 使用者郵箱須為 xxx@example.com。
系統自動跳轉至 Qoder 並完成登入。
Qoder 管理員進入企業設定 -> 成員管理,查詢該使用者是否已自動建立。
注意事項
啟用 SSO 後請勿立即登出當前管理員帳號。應安排其他已驗證帳號先行試登入,確認流程無誤後再退出,以防配置異常時失去管理員修複許可權。
注意點 | 說明 |
網域名稱驗證優先 | 必須先完成網域名稱驗證,否則無法啟用 SSO |
帳號郵箱一致 | IDaaS 使用者的郵箱屬性須與 Qoder 帳號郵箱一致,否則無法完成帳號映射 |
授權範圍 | 測試階段建議開放全員授權,上線後再按需配置 |
管理員保護 | 正式啟用前安排備用管理員帳號測試,避免鎖定 |