使用Microsoft Entra ID進行使用者SSO的樣本 - Resource Access Management

本文提供一個以Microsoft Entra ID（原Azure AD）與阿里雲進行使用者SSO的樣本，協助您理解企業IdP與阿里雲進行SSO的端到端配置流程。

應用情境

在本樣本中，企業擁有一個阿里雲帳號和一個Microsoft Entra ID租戶。在Microsoft Entra ID租戶中，您有一個管理使用者（已授予全域管理員許可權）和一個企業員工使用者（u2）。您希望經過配置，使企業員工使用者（u2）在登入Microsoft Entra ID後，通過使用者SSO訪問阿里雲。

準備工作

您需要通過Resource Access Management員（已授予AliyunRAMFullAccess許可權）執行本樣本阿里雲RAM中的操作。關於如何在RAM中建立使用者並授權，請參見建立RAM使用者、為RAM使用者授權。
您需要通過Microsoft Entra ID管理使用者（已授予全域管理員許可權）執行本樣本Microsoft Entra ID中的操作。關於如何在Microsoft Entra ID中建立使用者並授權，請參見Microsoft Entra ID文檔。

步驟一：在阿里雲擷取SAML服務提供者中繼資料

使用Resource Access Management員登入RAM控制台。
在左側導覽列，選擇整合管理 > SSO管理。
在SSO管理頁面，單擊使用者SSO頁簽。
在SAML 服務提供者中繼資料地區，複製URL。
在新的瀏覽器視窗中開啟複製的連結，將中繼資料XML檔案另存到本地。
說明
中繼資料XML檔案儲存了阿里雲作為一個SAML服務提供者的訪問資訊。您需要記錄該檔案中的entityID和Location的值，以便後續在Microsoft Entra ID的配置中使用。

步驟二：在Microsoft Entra ID中建立應用

使用Microsoft Entra ID管理使用者登入Azure門戶。
在首頁左上方，單擊表徵圖。
在左側導覽列，選擇Microsoft Entra ID > 管理 > 公司專屬應用程式程式 > 所有應用程式。
單擊建立應用程式。
在瀏覽Microsoft Entra 庫頁面，單擊建立你自己的應用程式。
在建立你自己的應用程式頁面，輸入應用程式名稱（例如：AliyunSSODemo），並選擇整合未在庫中找到的任何其他應用程式（非庫），然後單擊建立。

步驟三：在Microsoft Entra ID中配置SAML

在AliyunSSODemo頁面的左側導覽列，選擇管理 > 單一登入。
在選擇單一登入方法頁面，單擊SAML。
在設定SAML單一登入頁面進行以下配置。
1. 在頁面左上方，單擊上傳中繼資料檔案，選擇檔案後，單擊添加。
  說明
  此處上傳步驟一：在阿里雲擷取SAML服務提供者中繼資料中擷取的XML檔案。
2. 在基本SAML配置頁面，配置以下資訊，然後單擊儲存。
  - 標識符（實體 ID）：從上一步的中繼資料檔案中自動讀取entityID的值。
  - 回複 URL（判斷提示取用者服務 URL）：從上一步的中繼資料檔案中自動讀取Location的值。
  - 中繼狀態：用來配置使用者SSO登入成功後跳轉到的阿里雲頁面。
    說明
    出於安全原因，您只能填寫阿里巴巴旗下的網域名稱URL作為中繼狀態的值，例如：*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com，否則配置無效。若不配置，預設跳轉到阿里雲控制台首頁。
3. 在SAML認證地區，單擊下載，擷取聯合中繼資料XML。

步驟四：在Microsoft Entra ID分配使用者

在AliyunSSODemo頁面的左側導覽列，選擇管理 > 使用者和組。
單擊左上方的添加使用者/組。
在添加分配頁面，選擇目標使用者（本樣本中選擇u2），然後單擊分配。

步驟五：在阿里雲建立RAM使用者

在RAM控制台的左側導覽列，選擇身份管理 > 使用者。
在使用者頁面，單擊建立使用者。
在建立使用者頁面的使用者帳號資訊地區，輸入登入名稱稱和顯示名稱。
請確保RAM使用者登入名稱稱首碼與Microsoft Entra ID中的使用者名稱首碼保持一致。本樣本中為u2。
在訪問方式地區，選擇訪問方式。
單擊確定。

步驟六：在阿里雲開啟使用者SSO

在RAM控制台的左側導覽列，選擇整合管理 > SSO管理。
在SSO管理頁面，單擊使用者SSO頁簽。
在SSO功能狀態地區，單擊開啟。
說明
使用者SSO是一個全域功能，開啟後，所有通過控制台登入的RAM使用者都需要使用SSO登入。如果您是通過RAM使用者配置的，請先保留為關閉狀態，您需要先完成RAM使用者的建立，以免配置錯誤導致自己無法登入。您也可以通過阿里雲帳號進行配置來規避此問題。
在中繼資料文檔地區，單擊上傳中繼資料，上傳從步驟三：在Microsoft Entra ID中配置SAML中擷取的XML檔案。
在輔助網域名稱地區，單擊編輯，然後開啟輔助網域名稱並配置輔助網域名稱為Microsoft Entra ID中的使用者名稱Email尾碼。
例如：本樣本中Microsoft Entra ID使用者（u2）的完整使用者名稱為u2@example.onmicrosoft.com，則此處填寫example.onmicrosoft.com。

驗證結果

完成SSO登入配置後，您可以從阿里雲或Microsoft Entra ID發起SSO登入。

從阿里雲側發起登入

在RAM控制台的概览頁，複製RAM使用者的登入地址。
將滑鼠移至上方在右上方頭像的位置，單擊退出登入或使用新的瀏覽器開啟複製的RAM使用者登入地址。
單擊使用企業帳號登入，系統會自動跳轉到Microsoft Entra ID的登入頁面。
使用使用者（u2）的使用者名稱和密碼登入。
系統將自動SSO登入並重新導向到您指定的中繼狀態頁面。如果未指定中繼狀態或超出允許範圍，則系統會訪問以下阿里雲控制台首頁。

從Microsoft Entra ID側發起登入

擷取使用者訪問URL。
1. 管理使用者登入Azure門戶。
2. 在首頁左上方，單擊表徵圖。
3. 在左側導覽列，選擇Microsoft Entra ID > 管理 > 公司專屬應用程式程式 > 所有應用程式。
4. 單擊應用程式AliyunSSODemo。
5. 在左側導覽列，單擊屬性，擷取使用者訪問URL。
  使用者訪問URL是使用者直接從其瀏覽器訪問此應用程式的連結。
使用者（u2）從管理使用者處擷取上述使用者訪問URL在瀏覽器中輸入該URL，使用自己的帳號登入。
系統將自動SSO登入並重新導向到您指定的中繼狀態頁面。如果未指定中繼狀態或超出允許範圍，則系統會訪問以下阿里雲控制台首頁。