本快速入門教程以Microsoft Entra ID(原Azure AD)這一身份供應商為例,介紹配置角色SSO的步驟。配置完成後,您將可通過 Microsoft Entra ID 帳號登入並扮演指定的阿里雲 RAM 角色,以擷取臨時安全憑證(STS Token)訪問雲資源。
在決定是否要在您的環境中配置角色SSO之前,請確認您要使用的雲端服務是否支援使用RAM角色:支援STS的雲端服務。
配置流程
在本樣本中,Microsoft Entra ID是身份供應商(IdP),阿里雲RAM是服務提供者(SP)。我們的配置核心是在IdP和SP之間建立雙向的信任關係,並將Microsoft Entra ID上的應用程式角色映射為在阿里雲上配置的RAM角色。
步驟一:在 Microsoft Entra ID 建立公司專屬應用程式。從Microsoft Entra ID應用程式庫中使用Alibaba Cloud Service (Role-based SSO)應用模板來建立公司專屬應用程式程式。
步驟二:在Microsoft Entra ID中配置SAML。在Microsoft Entra ID中將阿里雲角色SSO配置為受信的SAML服務提供者。
步驟三:在阿里雲建立身份供應商。在阿里雲RAM中將Microsoft Entra ID配置為受信的SAML身份供應商。
步驟四:在阿里雲建立RAM角色。在阿里雲RAM中建立信任主體類型為身份供應商的RAM角色。
步驟五:在 Microsoft Entra ID 建立應用角色並分配使用者。在Microsoft Entra ID中為阿里雲角色SSO應用程式建立和配置應用角色,並將測試使用者指派給公司專屬應用程式程式。
驗證 SSO 登入。驗證角色SSO登入是否可以正常工作。
準備工作
您需要通過Resource Access Management員(已授予
AliyunRAMFullAccess許可權)執行本樣本阿里雲RAM中的操作。關於如何在RAM中建立使用者並授權,請參見建立RAM使用者、為RAM使用者授權。您需要通過 Microsoft Entra ID 管理使用者(已授予全域管理員許可權)執行本樣本 Microsoft Entra ID 中的操作。關於如何在Microsoft Entra ID中建立使用者並授權,請參見Microsoft Entra ID文檔。
步驟一:在 Microsoft Entra ID 建立公司專屬應用程式
使用Microsoft Entra ID管理使用者登入Azure門戶。
在首頁左上方,單擊
表徵圖。在左側導覽列,選擇。
單擊建立應用程式。
搜尋Alibaba Cloud Service (Role-based SSO)並單擊選擇。
輸入應用程式名稱,然後單擊建立。
本樣本中,使用預設應用程式名稱
Alibaba Cloud Service (Role-based SSO),您也可以自訂應用程式名稱。
步驟二:在Microsoft Entra ID中配置SAML
在Alibaba Cloud Service (Role-based SSO)頁面的左側導覽列,選擇。
單擊SAML。
配置SSO資訊。
在頁面左上方,單擊上傳中繼資料檔案,選擇阿里雲的角色SSO中繼資料檔案後,單擊添加。
說明您可以在新的瀏覽器視窗中通過以下URL擷取中繼資料檔案:
https://signin.alibabacloud.com/saml-role/sp-metadata.xml,並將中繼資料XML檔案另存到本地。在基本SAML配置頁面,配置以下資訊,然後單擊儲存。
標識符(實體 ID):從上一步的中繼資料檔案中自動讀取
entityID的值。回複 URL(判斷提示取用者服務 URL):從上一步的中繼資料檔案中自動讀取
Location的值。
在屬性和聲明地區,單擊
表徵圖,檢查是否存在以下兩條聲明。
如果不存在,請單擊添加新的聲明,按下表資訊依次添加兩條聲明。
名稱
命名空間
源
源屬性
Rolehttps://www.aliyun.com/SAML-Role/Attributes屬性
user.assignedroles
RoleSessionNamehttps://www.aliyun.com/SAML-Role/Attributes屬性
user.userprincipalname
在SAML認證地區,單擊下載,擷取聯合中繼資料XML。
步驟三:在阿里雲建立身份供應商
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在角色SSO頁簽,單擊SAML頁簽,然後單擊建立身份供應商。
在建立身份供應商頁面,輸入身份供應商名稱
AAD。單擊上傳中繼資料,上傳在步驟二:在Microsoft Entra ID中配置SAML中下載的聯合中繼資料XML。
單擊建立身份供應商。
點擊建立好的身份供應商
AAD。在基本資料中找到身份供應商的ARN並複製,方便後續配置。
步驟四:在阿里雲建立RAM角色
在RAM控制台的左側導覽列,選擇。
在角色頁面,單擊建立角色。
在建立角色頁面的右上方,單擊切換編輯器。
在編輯器中指定具體的SAML身份供應商。
編輯器支援可視化編輯和指令碼編輯兩種模式,您可以任選其一。以可視化編輯模式為例,您需要在主體中選擇身份供應商類型,點擊編輯。然後指定AAD為身份供應商,身份供應商類型選擇SAML。
在建立角色對話方塊,輸入角色名稱(AADrole),然後單擊確定完成角色建立。
點擊建立好的RAM角色,在基本資料中找到角色的ARN並複製,方便後續配置。
您可以根據需要為RAM角色添加許可權。具體操作,請參見為RAM角色授權。
步驟五:在 Microsoft Entra ID 建立應用角色並分配使用者
在Microsoft Entra ID中建立角色。
管理使用者登入Azure門戶。
在左側導覽列,選擇。
單擊所有應用程式頁簽,然後單擊Alibaba Cloud Service (Role-based SSO)。
在左側導覽列,選擇。
單擊建立應用程式角色。
在建立應用程式角色頁面,配置以下角色資訊,然後單擊應用。
顯示名稱:本樣本中輸入
Admin。允許的成員類型:本樣本中選中使用者/組+應用程式。
值:輸入RAM角色ARN和身份供應商ARN,兩者之間用半形逗號(,)分隔。本樣本中輸入
acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD。說明請注意這裡的輸入順序必須是
RAM角色ARN,身份供應商ARN。順序錯誤會導致角色SSO登入失敗。說明:輸入備忘資訊。
選中是否要啟用此應用程式角色。
說明如果您需要在Microsoft Entra ID中建立多個角色,請重複上述步驟並設定不同的顯示名稱和應用程式角色值。
將使用者指派給公司專屬應用程式並指定角色。
在左側導覽列,選擇。
在名稱列表下,單擊Alibaba Cloud Service (Role-based SSO)。
在左側導覽列,選擇。
單擊左上方的添加使用者/組。
在添加分配頁面,選擇目標使用者,然後單擊選擇。
確認選擇的角色是否為Admin,如果不是請更換為Admin。然後單擊分配。
驗證 SSO 登入
角色SSO僅支援從IdP側發起SSO登入,因此您需要從Microsoft Entra ID側進行登入來驗證結果。
擷取使用者訪問URL。
管理使用者登入Azure門戶。
在左側導覽列,選擇。
在名稱列表下,單擊Alibaba Cloud Service (Role-based SSO)。
在左側導覽列,選擇,擷取使用者訪問URL。
使用者(ssotest01@example.onmicrosoft.com)從管理使用者處擷取上述使用者訪問URL,然後在瀏覽器中輸入該URL,使用自己的帳號登入。登入成功後,預設使用者會登入到阿里雲控制台。可以在帳號名前面看到我們定義的RAM角色(
aadrole)。
相關文檔
您可以通過以下文檔,瞭解更多相關資訊:
瞭解阿里雲SSO:SSO概覽。
阿里雲使用者SSO的工作原理:使用者SSO概覽
阿里雲使用者SSO的配置樣本:使用Microsoft Entra ID進行使用者SSO的樣本
阿里雲SAML角色SSO的工作原理:SAML角色SSO概覽
阿里雲SAML角色SSO的進階配置樣本:使用Microsoft Entra ID進行角色SSO的樣本
排查單點登入(SSO)的常見問題,請參見單點登入(SSO)常見問題。