本文介紹如何在阿里雲IDaaS中配置角色SSO。使用角色SSO,您無需為每個成員建立RAM使用者。
一、在IDaaS中建立應用
登入IDaaS控制台。
選擇IDaaS執行個體並在操作地區下方單擊访问控制台。
前往,搜尋阿里雲角色SSO應用模板。單擊添加應用。
確認應用程式名稱,單擊立即添加。
二、在IDaaS中配置應用單點登入
添加應用後,將自動跳轉到應用單點登入配置頁,您將在此處進行配置。
填寫單點登入相關配置。
阿里雲主帳號ID:在控制台首頁-頭像/帳號中心查看。
身份供應商名稱:僅支援英文字母、數字或字元“.-_”,且不能以特殊字元開頭或結尾。
應用賬戶:單點登入時作為主鍵,匹配RAM角色。
授權範圍:如果是測試,建議選擇全員可訪問,跳過許可權分配步驟。
在應用配置資訊中,下載IdP 中繼資料,儲存到電腦中。此檔案用於建立阿里雲對IDaaS的信任關係。
在中,單擊添加應用賬戶。
選擇需要使用阿里雲角色SSO的賬戶,為其添加應用賬戶。應用賬戶名需要和阿里雲角色名稱完全一致。如果一個IDaaS賬戶對應多個阿里雲角色,可以建立多個應用賬戶。
三、在RAM中配置角色SSO
登入RAM控制台。
在左側導覽列,選擇。
在角色SSO頁簽,先單擊SAML頁簽,然後單擊建立身份供應商。
填寫身份供應商名稱(身份供應商名稱需和步驟二中的身份供應商名稱一致),上傳步驟二中在IDaaS下載的IdP 中繼資料,單擊建立身份供應商,完成身份供應商的建立。
四、在RAM中配置身份供應商許可權
登入RAM控制台。
在左側導覽列中,選擇。
在角色頁面,單擊建立角色。
在建立角色頁面的右上方,單擊切換編輯器。
選擇身份供應商,單擊編輯,選擇身份供應商類型(選擇步驟三中建立的身份供應商),單擊確定。
在建立角色對話方塊,輸入角色名稱,然後單擊確定(角色名稱需和步驟二中的應用賬戶名一致)。
您可以為RAM角色指派許可權,通過該角色單點登入到阿里雲的IDaaS賬戶都會擁有相同許可權。
五、驗證SSO
使用已擁有阿里雲角色SSO應用許可權的IDaaS賬戶,登入到IDaaS應用門戶頁,單擊頁面上的阿里雲角色SSO表徵圖,即可發起單點登入。
如果IDaaS賬戶擁有兩個或以上的應用賬戶(阿里雲角色),則需要選擇一個應用賬戶進行單點登入。
選擇合適的應用賬戶並單擊確定,即以角色的身份單點登入至阿里雲。