本文为您介绍角色SSO的背景、基本流程、配置步骤及配置示例。
背景信息
阿里云与企业进行角色SSO时,阿里云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过角色SSO,企业可以在本地IdP中管理员工信息,无需进行阿里云和企业IdP间的用户同步,企业员工将使用指定的 RAM 角色来登录阿里云。
基本流程
通过角色SSO,企业员工既可以通过控制台也可以使用程序访问阿里云。
通过控制台访问阿里云

当管理员在完成角色SSO的相关配置后,企业员工Alice可以通过如图所示的方法登录到阿里云。
使用程序访问阿里云

企业员工Alice可以通过编写程序来访问阿里云,基本流程如图所示:
- Alice使用程序向企业IdP发起登录请求。
- IdP生成一个SAML响应,其中包含关于登录用户的SAML断言,并将此响应返回给程序。
- 程序调用阿里云STS服务提供的API AssumeRoleWithSAML,并传递以下信息:阿里云中身份提供商的ARN、要扮演的角色的ARN以及来自企业IdP的SAML断言。
- STS服务将校验SAML断言并返回临时安全凭证给程序。
- 程序可以开始使用临时安全凭证来调用阿里云API。
角色SSO的配置步骤
为了建立阿里云与企业IdP之间的互信关系,需要进行阿里云作为SP的SAML配置和企业IdP的SAML配置,配置完成后才能进行角色SSO。
配置示例
如下为您提供了常见的企业IdP(例如:AD FS、Okta和Azure AD)与阿里云进行角色SSO的配置示例: