本文為您介紹如何在IDaaS中配置阿里雲-雲效單點登入。使用阿里雲-雲效SSO,您的企業成員將以RAM使用者訪問阿里雲-雲效。
操作步驟
由於阿里雲-雲效SSO基於阿里雲使用者SSO實現,且每個阿里雲帳號僅支援配置一個使用者SSO身份供應商,因此通過IDaaS配置雲效SSO後,使用者將需要通過該IDaaS執行個體才可使用者SSO訪問對應的阿里雲帳號中的資源。
如果您的阿里雲帳號正在使用使用者SSO,請謹慎評估和調整配置(如:使用非生產帳號測試、確認生產帳號沒有使用使用者SSO能力),以避免影響正常使用。
一、建立應用
登入IDaaS管理主控台。
選擇IDaaS執行個體並在操作地區下方單擊存取控制台。
前往,搜尋到阿里雲-雲效 SSO應用模板。單擊添加應用。
確認應用程式名稱,即可立即添加。
二、配置應用單點登入
添加應用後,將自動跳轉到應用單點登入配置頁,您將在此處進行配置。
輸入阿里雲主帳號ID可單擊頁面右上方頭像處擷取。選擇應用帳號名屬性,使用者進行單點登入時,將以該欄位作為主鍵,對應至阿里雲中的 RAM使用者,從而實現在阿里雲-雲效中的登入。如果僅用於測試,建議授權範圍選擇全員可訪問,暫時跳過為IDaaS帳號分配許可權的步驟。
在應用配置資訊中,下載IdP 中繼資料,儲存到電腦中。此檔案用於建立阿里雲對IDaaS的信任關係。
如果您IDaaS賬戶名與RAM使用者名稱( RAM子賬戶首碼)一致,應用賬戶處可選擇IDaaS賬戶名 。
如果您IDaaS賬戶名與RAM使用者名稱不一致, 應用賬戶處選擇應用賬戶 ,在應用賬戶介面綁定對應的賬戶關係,選擇單點登入的IDaaS賬戶,填寫RAM使用者名稱首碼。
三、在阿里雲中配置使用者SSO
登入阿里雲 RAM控制台。
在左側導覽列中,單擊SSO管理。
在使用者 SSO頁簽下,可查看當前SSO登入設定相關資訊。
單擊編輯,開啟SSO 功能狀態,上傳步驟二中在IDaaS下載的IdP 中繼資料,無需開啟輔助網域名稱。
單擊確定,即可完成配置。
四、嘗試SSO
您已經可以使用阿里雲-雲效SSO。有如下兩種發起模式。
從IDaaS發起(IdP發起):使用已擁有阿里雲-雲效SSO應用許可權的IDaaS賬戶,登入到IDaaS應用門戶頁,單擊頁面上的表徵圖,即可發起單點登入,成功登入至阿里雲-雲效。
從阿里雲-雲效發起(SP發起):使用匿名瀏覽器,訪問雲效地址,自動跳轉到阿里雲登入頁,單擊下方RAM使用者,輸入阿里雲使用者名稱並單擊下一步。
此時將出現提示頁面,單擊使用企業帳號登入或複製登入連結,如果您已登入IDaaS應用門戶,則可直接登入至阿里雲-雲效;否則將跳轉至IDaaS的登入頁,在IDaaS中完成登入後自動完成阿里雲-雲效的登入。