本文介紹如何使用IDaaS實現AD域帳號登入三方應用。
情境說明
IDaaS擁有AD域資料同步以及委託認證能力,可以快速實現使用AD/LDAP認證登入數百款應用。
首先將AD帳號同步到IDaaS,之後將希望單點的應用對接到IDaaS。完成這兩步,企業最終實現使用AD域帳號登入三方應用。
本文介紹的情境使用阿里使用者SSO作為第三方應用,所有IDaaS能力均可免費使用。
落地到實際情境中,是否是免費內容取決於您對接的三方應用是否是免費模板,詳情可查看各版本能力項。
操作步驟
步驟一、開通IDaaS執行個體
在正式開始應用配置之前,需要先建立IDaaS執行個體,請您參考免費開通執行個體完成建立。
步驟二、AD資料同步到IDaaS
您可以使用AD或者OpenLDAP賬戶認證登入,認證登入的前提是將對應的賬戶拉取到IDaaS中來,本文以AD作為樣本,實際對接的時候請根據您企業的實情自行選擇:
將AD賬戶同步到IDaaS:綁定AD。
將OpenLDAP賬戶同步到IDaaS:綁定OpenLDAP。
請確保委託認證該項功能處於開啟的狀態。
完成同步後,在賬戶介面即可看到同步完成的賬戶。
步驟三、建立IDaaS應用
建立IDaaS應用,並配置單點登入,本文以阿里雲使用者SSO為例。
更多阿里雲使用者SSO配置和用法請參考:阿里雲使用者 SSO。
請注意在綁定子賬戶的時候,需要將匯入IDaaS中的AD賬戶作為IDaaS賬戶名,應用賬戶為阿里雲子賬戶首碼。
步驟四:授權IDaaS應用
將IDaaS應用授權給需要訪問該應用的賬戶,可在單點登入中設定為全員可訪問,也可在授權中根據賬戶或組織授權。只有擁有許可權的賬戶才可訪問應用。
對接SAML應用(如阿里雲RAM)時,可在單點登入中設定應用賬戶。IDaaS會將使用者的IDaaS賬戶名或指定應用賬戶名傳遞給應用,應用據此找到對應賬戶實現登入。若有存量賬戶,需確保與IDaaS賬戶對應;無法對應時,需提前在應用中建立賬戶。更多資訊可參考:單點登入通用說明。
步驟五、配置登入方式
在IDaaS控制台單擊登入。
開啟AD委託認證。
設定優先登入方式(可選)。
如果您希望預設使用AD賬戶登入,可以將優先登入方式設定為AD賬戶登入方式。
步驟六:發起單點登入
SP發起
訪問RAM使用者登入地址,輸入子賬戶使用者名稱,單擊下一步。
單擊使用企業帳號登入跳轉到IDaaS登入介面。
如果設定了優先使用AD登入,則會直接展示輸入AD賬密介面,如果沒有進行設定,請手動切換至AD對應的認證源。
IDP發起
訪問IDaaS使用者門戶地址。
如果設定了優先使用AD登入,則會直接展示輸入AD賬密介面,如果沒有進行設定,請手動切換至AD對應的認證源。
登入到IDaaS應用門戶,單擊對應的應用表徵圖登入。