本文介紹如何在阿里雲IDaaS中配置角色SSO。使用角色SSO,您無需為每個成員建立RAM使用者。
一、在IDaaS中建立應用
登入IDaaS控制台。
選擇IDaaS執行個體並在操作地區下方單擊访问控制台。
前往,搜尋阿里雲角色SSO應用模板。單擊添加應用。
確認應用程式名稱,單擊立即添加。
應用程式名稱 為
阿里雲角色SSO。
二、在IDaaS中配置應用單點登入
添加應用後,將自動跳轉到應用單點登入配置頁,您將在此處進行配置。
在登入訪問 > 單點登入頁簽下,開啟單點登入配置開關,填寫阿里雲主帳號 ID(希望實現 SSO 的目標阿里雲主賬戶 ID)和身份供應商名稱(在 RAM 中建立的身份供應商名稱),設定應用賬戶(需在應用賬戶標籤中為每個賬戶配置 RAM 角色標識)和授權範圍(預設為手動授權,需在應用授權中進行許可權分配)。
填寫單點登入相關配置。
阿里雲主帳號ID:在控制台首頁-頭像/帳號中心查看。
身份供應商名稱:僅支援英文字母、數字或字元“.-_”,且不能以特殊字元開頭或結尾。
应用账户:單點登入時作為主鍵,匹配RAM角色。
授权范围:如果是測試,建議選擇全員可訪問,跳過許可權分配步驟。
在應用配置資訊中,下載IdP 中繼資料,儲存到電腦中。此檔案用於建立阿里雲對IDaaS的信任關係。
在单点登录 > 應用賬戶中,單擊添加應用賬戶。
選擇需要使用阿里雲角色SSO的賬戶,為其添加應用賬戶。應用賬戶名需要和阿里雲角色名稱完全一致。如果一個IDaaS賬戶對應多個阿里雲角色,可以建立多個應用賬戶。
三、在RAM中配置角色SSO
登入RAM控制台。
在左側導覽列,選擇。
在角色 SSO頁簽,先單擊SAML頁簽,然後單擊创建身份提供商。
填寫身份供應商名稱(身份供應商名稱需和步驟二中的身份供應商名稱一致),上傳步驟二中在IDaaS下載的IdP 中繼資料,單擊创建身份提供商,完成身份供應商的建立。
四、在RAM中配置身份供應商許可權
登入RAM控制台。
在左側導覽列中,選擇。
在角色頁面,單擊创建角色。
在创建角色頁面的右上方,單擊切換編輯器。在建立角色頁面,單擊切換編輯器。
選擇身份提供商,單擊编辑,選擇身份提供商类型(選擇步驟三中建立的身份供應商),單擊確定。
在创建角色對話方塊,輸入角色名称,然後單擊确定(角色名称需和步驟二中的應用賬戶名一致)。
您可以為RAM角色指派許可權,通過該角色單點登入到阿里雲的IDaaS賬戶都會擁有相同許可權。
在 RAM 角色詳情頁中,選擇許可權管理頁簽,單擊新增授權為該角色添加所需的權限原則。授權完成後,可在權限原則列表中查看已授權的策略,如需移除可單擊解除授權。
五、驗證SSO
使用已擁有阿里雲角色SSO應用許可權的IDaaS賬戶,登入到IDaaS應用門戶頁,單擊頁面上的阿里云角色SSO表徵圖,即可發起單點登入。
如果IDaaS賬戶擁有兩個或以上的應用賬戶(阿里雲角色),則需要選擇一個應用賬戶進行單點登入。
選擇合適的應用賬戶並單擊确定,即以角色的身份單點登入至阿里雲。