Identity as a Service：阿里雲使用者 SSO

一、在IDaaS側建立應用

1. 登入IDaaS控制台。

2. 選擇IDaaS執行個體並在操作地區下方單擊存取控制台。

3. 前往應用 > 添加應用 > 應用市場，搜尋到阿里雲使用者 SSO應用模板。單擊添加應用。

   

4. 確認應用程式名稱，即可立即添加。

   ​

二、在IDaaS側配置應用單點登入

1. 添加應用後，將自動跳轉到應用單點登入配置頁，您將在此處進行配置。

   

2. 輸入阿里雲主帳號ID，可單擊阿里雲控制台首頁 > 帳號中心頁面右上方頭像處擷取。選擇應用帳號名屬性，使用者進行單點登入時，將以該欄位作為主鍵，對應至阿里雲中的 RAM使用者，從而實現在阿里雲中的登入。如果僅用於測試，建議授權範圍選擇全員可訪問，暫時跳過為IDaaS帳號分配許可權的步驟。

   

3. 在應用配置資訊中，下載IdP 中繼資料，儲存到電腦中。此檔案用於建立阿里雲對IDaaS的信任關係。

   

4. 如果您IDaaS賬戶名與RAM使用者名稱（ RAM子賬戶首碼）一致，應用賬戶處可選擇IDaaS賬戶名 。

   

   如果您IDaaS賬戶名與RAM使用者名稱不一致， 應用賬戶處選擇應用賬戶 ，在應用賬戶介面綁定對應的賬戶關係，選擇單點登入的IDaaS賬戶，填寫RAM使用者名稱首碼。

   

三、在RAM中配置使用者SSO

1. 登入RAM控制台。

2. 在左側導覽列中，單擊SSO管理。

3. 在使用者 SSO頁簽下，可查看當前SSO登入設定相關資訊。

4. 開啟SSO 功能狀態，上傳步驟二中在IDaaS下載的IdP 中繼資料，無需開啟輔助網域名稱。

四、在RAM中配置子使用者權限（可選）

您可能擁有存量的RAM使用者，或希望將IDaaS中賬戶同步至阿里雲（詳見文檔：賬戶同步-事件回調），此時請按需在左側功能表列的使用者中為使用者指派許可權，以便使用者擁有恰當的許可權訪問阿里雲的資源。如果僅為了測試單點登入能力，請忽略此步驟。

五、嘗試SSO

1. 從IDaaS或阿里雲發起使用者SSO登入。

   • 從IDaaS發起（IdP發起）：使用已擁有阿里雲使用者SSO應用許可權的IDaaS賬戶，登入到IDaaS應用門戶頁，單擊頁面上的表徵圖，即可發起單點登入至阿里雲。

   • 從阿里雲發起（SP發起）：使用匿名瀏覽器，開啟阿里雲登入頁，單擊下方RAM使用者登入，輸入RAM使用者名稱並單擊下一步。

2. 此時將出現提示頁面，單擊使用企業帳號登入或複製登入連結，如果您已登入IDaaS應用門戶，則可直接登入至阿里雲；否則將跳轉至IDaaS的登入頁，在IDaaS中完成登入後自動完成阿里雲的登入。

   ​