全部產品
Search

搜尋本產品

    Resource Access Management:使用Okta進行使用者SSO的樣本

    文件中心

    Resource Access Management:使用Okta進行使用者SSO的樣本

    更新時間:Dec 09, 2025

    本文提供一個以Okta與阿里雲進行使用者SSO的樣本,協助您理解企業IdP與阿里雲進行SSO的端到端配置流程。

    步驟一:在阿里雲擷取SAML服務提供者中繼資料

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇整合管理 > SSO管理

    3. 單擊使用者SSO頁簽,在SAML 服務提供者中繼資料地區,複製當前阿里雲帳號的中繼資料URL。

    4. 在新的瀏覽器視窗中開啟複製的連結,將中繼資料XML檔案另存到本地。

      開啟XML檔案,尋找並記錄entityIDLocation

      • entityID:位於元素<md:EntityDescriptor>entityID屬性中。樣本值:https://signin-intl.aliyun.com/57******81/saml/SSO

      • Location:位於元素<md:AssertionConsumerService>Location屬性中。樣本值:https://signin-intl.aliyun.com/saml/SSO

    步驟二:在Okta建立支援SAML SSO的應用

    1. 登入Okta

    2. Okta Admin Console的左側導覽列,選擇Applications > Applications

    3. Applications頁面,單擊Create App Integration

    4. Create a new app integration對話方塊,選擇SAML 2.0,單擊Next

    5. General SettingsApp name中,設定應用程式名稱(例如:AliyunSSODemo),單擊Next

    6. Configure SAMLSAML Settings中設定如下資訊,然後單擊Next

      • Single sign on URL:設定為前一步驟記錄的Location

      • Audience URI (SP Entity ID):設定為前一步驟記錄的entityID

      • Default RelayState:指定使用者SSO登入成功後跳轉的目標頁面。若為空白,則預設跳轉到阿里雲控制台首頁。

        說明

        出於安全原因,僅能填寫阿里巴巴旗下的網域名稱URL作為Default RelayState的值,例如:*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com,否則配置無效。

      • Name ID format:選擇Persistent

      • Application username:選擇Email

    7. Feedback頁面,根據需要選擇合適的應用類型,然後單擊Finish

    步驟三:在Okta擷取SAML IdP中繼資料

    1. 在應用程式AliyunSSODemo詳情頁,單擊Sign On

    2. Settings地區,單擊Identity Provider metadata,將IdP中繼資料另存到本地。

    步驟四:在阿里雲開啟使用者SSO

    1. 在RAM控制台的左側導覽列,選擇整合管理 > SSO管理

    2. 單擊使用者SSO頁簽,在SSO功能狀態地區,單擊開啟

      說明

      使用者SSO是一個全域功能,開啟後,所有RAM使用者都需要使用SSO登入。 如果您是通過RAM使用者配置的,請先保留為關閉狀態,您需要先完成RAM使用者的建立,以免配置錯誤導致自己無法登入。您也可以通過阿里雲帳號(主帳號)進行配置來規避此問題。

    3. 中繼資料文檔地區,單擊上傳中繼資料,上傳從步驟三:在Okta擷取SAML IdP中繼資料中擷取的IdP中繼資料。

    4. 輔助網域名稱地區,單擊編輯,然後開啟輔助網域名稱並配置輔助網域名稱為Okta中的使用者名稱Email尾碼。

      說明

      如果您的Okta中存在多種Email尾碼的使用者,則只有以此處配置的尾碼結尾的Email地址可以登入到阿里雲。

    步驟五:在Okta建立使用者並分配應用

    1. 在Okta左側導覽列,選擇Directory > People

    2. 單擊Add Person

    3. Add Person頁面,填寫基本資料並將Primary email配置為u2@example.com,然後單擊Save

    4. 在使用者列表中,單擊使用者u2@example.comStatus列的Activate,然後根據頁面提示啟用u2@example.com。

    5. 在左側導覽列,選擇Applications > Applications

    6. 單擊目標應用程式名稱(AliyunSSODemo)後,在Assignments頁簽,選擇Assign > Assign to People

    7. 單擊目標使用者(u2@example.com)後的Assign

    8. 單擊Save and Go Back

    9. 單擊Done

    步驟六:在阿里雲建立RAM使用者

    1. 在RAM控制台的左側導覽列,選擇身份管理 > 使用者

    2. 使用者頁面,單擊建立使用者

    3. 建立使用者頁面,輸入登入名稱稱顯示名稱

      說明

      請確保RAM使用者的登入名稱稱首碼與Okta中的使用者名稱首碼保持一致,本樣本中為u2。

    4. 訪問方式地區,選擇控制台訪問,並設定登入密碼等參數。

    5. 單擊確定

    驗證結果

    完成上述配置後,您可以從阿里雲或Okta發起SSO登入。

    從阿里雲側發起登入

    1. RAM控制台概览頁,複製RAM使用者的登入地址。

    2. 將滑鼠移至上方在右上方頭像的位置,單擊退出登入或使用新的瀏覽器開啟複製的RAM使用者登入地址。

    3. 單擊使用企業帳號登入,系統會自動跳轉到Okta的登入頁面。

    4. 在Okta的登入介面,輸入使用者名稱(u2@example.com)和密碼,單擊登入

      登入成功後,系統將自動SSO登入並重新導向到DefaultRelayState指定的頁面。若未指定DefaultRelayState或超出允許範圍,則系統將跳轉至阿里雲控制台首頁。

    從Okta側發起登入

    使用Okta使用者登入Okta門戶,在Okta的首頁,找到並單擊AliyunSSODemo應用。

    登入成功後,系統將自動SSO登入並重新導向到DefaultRelayState指定的頁面。若未指定DefaultRelayState或超出允許範圍,則系統將跳轉至阿里雲控制台首頁。