本文介紹如何進行SAML配置,配置完成之後,使用者可以使用第三方帳號通過SAML協議登入阿里雲盤企業版。本文僅梳理了Microsoft Azure AD的SAML配置步驟,其他系統配置類似。
1. 在PDS啟用SAML配置開關,擷取SP的中繼資料檔案
管理員進入管理主控台>專屬登入配置>SAML配置。
啟用SAML配置。
下載SP的中繼資料資訊,將下載好的XML檔案儲存到本地。
服務提供者(SP)中繼資料資訊儲存了PDS作為一個SAML服務提供者的訪問資訊,您需要儲存該XML檔案,以便後續在Microsoft Azure AD的配置中使用。
2. 進入Microsoft Azure AD介面,配置SP的中繼資料資訊,擷取IDP的中繼資料資訊
步驟一:在Azure AD中建立應用
管理使用者登入Microsoft Azure AD介面,點擊查看。
在左側導覽列,選擇公司專屬應用程式程式>所有應用程式。
單擊建立應用程式。
在瀏覽Azure AD庫頁面,單擊建立你自己的應用程式。
在建立你自己的應用程式頁面,輸入應用程式名稱(例如:PdsSamlDemo),並選擇整合未在庫中找到任何其他應用程式(非庫),然後單擊建立。
步驟二:在Azure AD中配置SAML
在PdsSamlDemo頁面,單擊設定單一登入。
在選擇單一登入方法頁面,單擊SAML。
在設定SAML單一登入頁面進行以下配置。
在頁面左上方,單擊上傳中繼資料檔案,選擇檔案後,單擊添加。
此處上傳的中繼資料檔案為上文在PDS的SAML配置頁面中下載的服務提供者(SP)中繼資料xml檔案。
在基本SAML配置頁面,配置以下資訊,然後單擊儲存。
標識符(實體 ID):從上一步的中繼資料檔案中自動讀取entityID的值。
回複 URL(判斷提示取用者服務 URL):從上一步的中繼資料檔案中自動讀取Location的值。
在SAML簽署憑證地區,單擊下載,擷取聯合中繼資料XML。
聯合中繼資料XML即為認證身份供應商IdP的中繼資料資訊。您需要儲存該XML檔案,以便後續在PDS的配置中使用。
步驟三:在Azure AD分配使用者
在PdsSamlDemo頁面,單擊分配使用者和組。
單擊左上方添加使用者/組。
單擊使用者,從使用者列表中選擇使用者,然後單擊選擇。
單擊左下角分配。
4. 在PDS配置IdP中繼資料資訊
管理員進入管理主控台>專屬登入配置>SAML配置。
點擊配置,選擇要上傳的 XML 檔案,配置認證身份供應商(IdP)的中繼資料資訊。
此處上傳的IdP中繼資料檔案為上文中在Azure AD下載的聯合中繼資料XML檔案。
上傳成功後登入設定將顯示認證身份供應商(IdP)中繼資料資訊已配置,即配置成功。
