使用Okta進行使用者SSO的樣本 - Resource Access Management

本文提供一個以Okta與阿里雲進行使用者SSO的樣本，協助您理解企業IdP與阿里雲進行SSO的端到端配置流程。

步驟一：在阿里雲擷取SAML服務提供者中繼資料

使用阿里雲帳號登入RAM控制台。
在左側導覽列，選擇整合管理 > SSO管理。
在SSO管理頁面，單擊使用者SSO頁簽。
在SSO登入設定地區，複製SAML服務提供者中繼資料URL。
在新的瀏覽器視窗中開啟複製的連結，將中繼資料XML檔案另存到本地。
說明中繼資料XML檔案儲存了阿里雲作為一個SAML服務提供者的訪問資訊。您需要記錄XML檔案中EntityDescriptor元素的entityID屬性值和AssertionConsumerService元素的Location屬性值，以便後續在Okta的配置中使用。

在RAM控制台的左側導覽列，選擇整合管理 > SSO管理。
在SSO管理頁面，單擊使用者SSO頁簽。
在SSO登入設定地區，單擊編輯。
在編輯SSO登入設定面板的SSO功能狀態地區，單擊開啟。
說明使用者SSO是一個全域功能，開啟後，所有RAM使用者都需要使用SSO登入。如果您是通過RAM使用者配置的，請先保留為關閉狀態，您需要先完成RAM使用者的建立，以免配置錯誤導致自己無法登入。您也可以通過阿里雲帳號（主帳號）進行配置來規避此問題。
在中繼資料文檔地區，單擊上傳檔案，上傳從步驟三：在Okta擷取SAML IdP中繼資料中擷取的IdP中繼資料。
在輔助網域名稱地區，單擊開啟，並配置輔助網域名稱為Okta中的使用者名稱Email尾碼。
說明如果您的Okta中存在多種Email尾碼的使用者，則只有以此處配置的尾碼結尾的Email地址可以登入到阿里雲。
單擊確定。

在Okta左側導覽列，選擇Directory > People。
單擊Add Person。
在Add Person頁面，填寫基本資料並將Primary email配置為u2@example.com，然後單擊Save。
在使用者列表中，單擊使用者u2@example.comStatus列的Activate，然後根據頁面提示啟用u2@example.com。
在左側導覽列，選擇Applications > Applications。
單擊目標應用程式名稱（AliyunSSODemo）後，在Assignments頁簽，選擇Assign > Assign to People。
單擊目標使用者（u2@example.com）後的Assign。
單擊Save and Go Back。
單擊Done。

在RAM控制台的左側導覽列，選擇身份管理 > 使用者。
在使用者頁面，單擊建立使用者。
在建立使用者頁面，輸入登入名稱稱和顯示名稱。
說明請確保RAM使用者的登入名稱稱首碼與Okta中的使用者名稱首碼保持一致，本樣本中為u2。
在訪問方式地區，選擇控制台訪問，並設定登入密碼等參數。
單擊確定。

完成上述配置後，您可以從阿里雲或Okta發起SSO登入。

從阿里雲側發起登入
1. 在RAM控制台的頁，複製RAM使用者的登入地址。
2. 將滑鼠移至上方在右上方頭像的位置，單擊退出登入或使用新的瀏覽器開啟複製的RAM使用者登入地址。
3. 單擊使用企業帳號登入，系統會自動跳轉到Okta的登入頁面。
4. 在Okta的登入介面，輸入使用者名稱（u2@example.com）和密碼，單擊登入。
系統將自動SSO登入並重新導向到您指定的DefaultRelayState頁面。如果未指定DefaultRelayState或超出允許範圍，則系統會訪問如下阿里雲控制台首頁。如果出現以下頁面，表示配置成功。
從Okta側發起登入
使用Okta使用者登入Okta門戶，在Okta的首頁，找到並單擊AliyunSSODemo應用。
系統將自動SSO登入並重新導向到您指定的DefaultRelayState頁面。如果未指定DefaultRelayState或超出允許範圍，則系統會訪問以下阿里雲控制台首頁。如果出現以下頁面，表示配置成功。