本文为您提供Okta与云SSO进行单点登录(SSO登录)的示例。
背景信息
假设企业在本地IdP Okta中有大量用户,且已在阿里云资源目录(RD)中搭建了多账号体系结构。企业希望经过配置,使Okta的用户通过SSO登录的方式直接访问资源目录指定成员账号中的指定资源。
本文中涉及的Okta配置部分属于建议,仅用于帮助理解阿里云SSO登录的端到端配置流程,阿里云不提供Okta配置的咨询服务。
步骤一:在云SSO获取服务提供商(SP)元数据
-
登录云SSO控制台。
-
在左侧导航栏,单击设置。
-
在SSO登录区域,复制服务提供商(SP)的ACS URL和Entity ID。
步骤二:在Okta创建应用程序
-
登录Okta门户。
-
单击页面右上方的账号图标,然后单击Your Org。
-
在左侧导航栏,选择。
-
在Applications页面,单击Browse App Catalog。
-
搜索并找到名为Alibaba Cloud CloudSSO的应用程序。
-
打开应用程序介绍页面后,单击Add integration,添加应用程序。
-
配置应用程序信息。
-
在General Settings页面,输入应用名称CloudSSODemo,然后单击Done。
-
在Sign on页面的settings区域,单击Edit。
-
Default RelayState:用来配置SSO登录成功后跳转到的阿里云页面。如果不配置,默认跳转到云SSO用户门户。
说明出于安全原因,您只能输入*.alibabacloudsso.com域名的URL,否则配置无效。
-
ACS URL:从步骤一:在云SSO获取服务提供商(SP)元数据获取的ACS URL值。
-
Entity ID:从步骤一:在云SSO获取服务提供商(SP)元数据获取的Entity ID值。
-
Application username:选择Okta username。
-
-
单击Save。
-
步骤三:在Okta获取身份提供商(IdP)元数据
-
在应用程序CloudSSODemo详情页,单击Sign On页签。
-
在SAML Signing Certificates区域,鼠标右键单击Actions下拉列表,选择View IdP metadata,将IdP元数据另存到本地。
步骤四:在Okta为应用程序分配用户
如果Okta中没有用户,您需要先创建用户。具体操作,请参见创建Okta用户。
步骤五:在云SSO启用SSO登录
-
在云SSO的左侧导航栏,单击设置。
-
在SSO登录区域,单击配置身份提供商信息。
-
在配置身份提供商信息对话框,选择上传元数据文档。
-
单击上传文件,上传从步骤三:在Okta获取身份提供商(IdP)元数据获取的IdP元数据文件。
-
打开SSO登录开关,启用SSO登录。
说明启用SSO登录后,用户名和密码登录将自动禁用,即云SSO用户将不能通过用户名和密码登录。而且,SSO登录是一个全局功能,启用后,所有用户都需要SSO登录。
步骤六:同步用户或创建用户
从Okta同步用户到云SSO,或者在云SSO创建同名用户。具体如下:
-
从Okta同步用户到云SSO(推荐):适用于Okta中拥有大量用户的情况。具体操作,请参见通过SCIM同步Okta用户或用户组的示例。
-
在云SSO创建同名用户:适用于Okta中仅有少量用户的情况。具体操作,请参见创建用户。
说明用户名会用于用户登录。当您进行SSO登录时,云SSO的用户名应该与Okta中用于SSO登录的字段保持一致。更多信息,请参见步骤二:在Okta创建应用程序。
(可选)步骤七:为用户授权
如果您计划用户SSO登录后访问资源目录指定成员账号中的指定资源,您还需要创建访问配置,并为用户在RD账号上授权。
验证结果
完成上述配置后,您可以从阿里云或Okta发起SSO登录。
-
从阿里云发起SSO登录
-
在云SSO控制台的概览页,复制用户登录地址。
-
使用新的浏览器打开复制的用户登录地址。
-
单击跳转,系统会自动跳转到Okta的登录页面。页面显示SSO 登录界面,单击跳转按钮进入 Okta 登录页面。
-
使用Okta用户名和密码登录。
系统将自动SSO登录并重定向到您指定的Default RelayState页面。本示例中未指定Default RelayState,系统会访问云SSO用户门户。
-
-
从Okta发起SSO登录
-
使用Okta用户登录Okta门户。
-
单击CloudSSODemo应用。
系统将自动SSO登录并重定向到您指定的Default RelayState页面。本示例中未指定Default RelayState,系统会访问云SSO用户门户。
-