Alibaba Cloud DevOps：SAML 整合

步驟一 配置 SAML 串連

為了建立雲效 SP（Service Provider，服務提供者）對企業 IdP（Identity Provider，SAML身份源）的串連，需要配置以下資訊：

• SAML 中繼資料文檔地址：企業 IdP 中繼資料地址。

• 公開金鑰：雲效 SP 的自我簽署憑證，public.crt 的檔案內容。

• 私密金鑰：雲效 SP 私密金鑰，rsa_private.key 的檔案內容。

私密金鑰和雲效自我簽署憑證的產生命令如下：

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 3650 -out public.crt

填寫完成後，單擊下一步。

步驟二 配置帳號綁定與屬性對應

1. 配置帳號唯一標識：填寫 SAML 中唯一識別使用者的屬性欄位，配置後不可修改。

2. 設定帳號綁定方式：目前提供 3 種帳號識別和綁定方式：

   • 自動綁定郵箱相同的帳號：按照同步策略，自動將雲效、SAML 中郵箱帳號相同的使用者綁定在一起。

   • 自動綁定帳號 ID 相同的帳號：按照同步策略，自動將雲效、SAML 中帳號 ID 相同的使用者綁定在一起。

   • 自動綁定工號相同的帳號：按照同步策略，自動將雲效、SAML 中工號相同的使用者綁定在一起。

無論選擇哪一種帳號識別和綁定方式，均需要保證其對應的屬性欄位的唯一性和存在性，因為雲效將按照選擇的方式進行帳號的一一匹配，如下圖為選擇自動綁定郵箱相同的帳號的綁定過程：

3. 設定帳號同步類型：根據是否需要建立新帳號，以決定映射必填的使用者屬性欄位範圍，開啟映射的欄位將自動同步三方資料，雲效側不允許編輯。

   • 允許建立新帳號和綁定已有帳號：允許建立帳號，在下一步使用者屬性對應時，需要確保姓名、帳號 ID 以及用於帳號綁定的欄位必填。

   • 無需建立新帳號，僅綁定已有帳號：不允許建立帳號，在下一步使用者屬性對應時，僅需確保用於帳號綁定的欄位必填。

4. 配置使用者屬性對應的欄位，雲效將按照使用者屬性欄位映射關係進行資訊映射，已設定映射欄位的屬性自動同步三方，雲效側不再允許編輯。

填寫完成後，單擊下一步。

步驟三 開啟單點登入服務

在配置過程中，單點登入的功能預設不開啟。開啟後，可進行 SAML 單點登入相關配置：

• 修改 SAML 顯示名稱，修改後雲效系統將按照修改的內容顯示 SAML 資訊。

• 開啟單點登出（SLO）：預設不開啟單點登出，勾選後需要將雲效的單點登出地址配置在 SAML IdP 中方可完成 SLO 配置，完成後將可以保持雲效與 SAML IdP 的登出狀態同步。

如果選擇不開啟單點登入，也可儲存配置，後續可以在 SAML 整合詳情頁面中開啟服務。

當完成所有配置後，單擊儲存配置按鈕即可完成 SAML 整合的配置。

步驟四 配置中繼資料

為了建立企業 IdP 對雲效的信任，需要在企業 IdP 中配置雲效為可信 SAML SP 並進行 SAML 斷言屬性的配置。在企業 IdP 中建立一個 SAML SP，並根據實際情況選擇下面任意一種方式配置雲效為信賴方：

• 直接複製下方雲效作為 SAML SP 的 SAML 服務提供者中繼資料的 URL 地址，配置到 SAML 服務中。

• 如果企業使用的 IdP 不支援 URL 配置，可以下載SAML 服務提供者中繼資料檔案並上傳到 IdP。

• 如果企業使用的 IdP 不支援中繼資料檔案上傳，則需要手動設定以下參數：

  • Entity ID：下載的 SAML 服務提供者中繼資料檔案中，md:EntityDescriptor 元素的 entityID 屬性值。

  • ACS URL：下載的 SAML 服務提供者中繼資料檔案中，md:AssertionConsumerService 元素的 Location 屬性值。

  • SLO URL：下載的 SAML 服務提供者中繼資料檔案中，SingleLogoutService 的 Location 屬性值。