本文主要介紹企業在使用使用者SSO時,如何在企業身份供應商(IdP)中配置阿里雲為可信SAML服務提供者(SP)。
操作步驟
從阿里雲擷取SAML服務提供者中繼資料URL。
使用阿里雲帳號登入RAM控制台。
在左側導覽列,選擇。
在SSO管理頁面,單擊使用者SSO頁簽。
在SSO登入設定地區,查看當前阿里雲帳號的SAML服務提供者中繼資料URL。
在企業IdP中建立一個SAML SP,並根據實際情況選擇下面任意一種方式配置阿里雲為信賴方。
直接使用步驟1所述的阿里雲中繼資料URL進行配置。
如果您的IdP不支援URL配置,您可以通過步驟1所述URL下載中繼資料檔案並上傳至您的IdP。
如果您的IdP不支援中繼資料檔案上傳,則需要手動設定以下參數:
Entity ID:下載的中繼資料XML中,md:EntityDescriptor元素的entityID屬性值。ACS URL:下載的中繼資料XML中,md:AssertionConsumerService元素的Location屬性值。RelayState(可選):如果您的IdP支援設定RelayState參數,您可以將其配置成SSO登入成功後希望跳轉到的頁面URL。如果不進行配置,SSO登入成功後,將會跳轉到阿里雲控制台首頁。說明出於安全原因,您只能填寫阿里巴巴旗下的網域名稱URL作為
RelayState的值,例如:*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com。
後續步驟
在企業IdP中配置阿里雲為可信SAML SP後,需要在企業IdP中配置SAML斷言屬性。更多資訊,請參見使用者SSO的SAML響應。