本文介紹通過基於SAML 2.0的使用者SSO,配置相應中繼資料來建立阿里雲對企業身份供應商(IdP)的信任,實現企業IdP通過使用者SSO登入阿里雲。
背景資訊
設定預設網域名稱、域別名或輔助網域名稱可以簡化SAML SSO的配置流程。關於如何設定阿里雲帳號的預設網域名稱或域別名,請參見查看和修改預設網域名稱和建立並驗證域別名。
操作步驟
- 阿里雲帳號登入RAM控制台。
- 在左側導覽列,選擇。
- 單擊使用者SSO頁簽,查看當前SSO登入設定相關資訊。
- 單擊編輯,配置SSO登入設定相關資訊。
- SSO功能狀態:選擇開啟或關閉。 說明 該功能只對阿里雲帳號下的所有RAM使用者生效,不會影響阿里雲帳號的登入。
- 此功能預設為關閉,此時RAM使用者可以使用密碼登入,所有SSO設定不生效。
- 如果選擇開啟此功能,此時RAM使用者密碼登入方式將會被關閉,統一跳轉到企業IdP登入服務進行身份認證。如果再次關閉,使用者密碼登入方式自動回復。
- 中繼資料文檔:單擊上傳檔案,上傳企業IdP提供的中繼資料文檔。 說明 中繼資料文檔由企業IdP提供,一般為XML格式,包含IdP的登入服務地址以及X.509密鑰憑證(用於驗證IdP所頒發的SAML斷言的有效性)。
- 輔助網域名稱(可選):開啟輔助網域名稱開關,可以設定一個輔助網域名稱。
- 如果設定了輔助網域名稱,SAML斷言中的
NameID元素將可以使用此輔助網域名稱作為尾碼。 - 如果沒有設定輔助網域名稱,SAML斷言中的
NameID元素將只能使用當前帳號的預設網域名稱或域別名作為尾碼。
關於
NameID元素的取值,請參見使用者SSO的SAML響應。說明 如果您同時設定了域別名和輔助網域名稱,輔助網域名稱將不會生效。此時,NameID元素只能使用域別名或預設網域名稱作為尾碼。 - 如果設定了輔助網域名稱,SAML斷言中的
- SSO功能狀態:選擇開啟或關閉。
- 單擊確定。
後續步驟
完成SAML配置後,選擇以下一種方法建立與企業IdP相匹配的RAM使用者:
- 登入RAM控制台手動建立與企業IdP匹配的RAM使用者,詳情請參見建立RAM使用者。
- 使用RAM SDK編寫程式或阿里雲CLI來建立RAM使用者,詳情請參見CreateUser。