介绍如何通过阿里云 IDaaS 的百炼 Token Plan 模板配置 SAML SSO,实现从 IDaaS 统一身份认证直接登录百炼 Token Plan 管理平台。
概述
通过阿里云 IDaaS(Identity as a Service)的百炼 Token Plan 应用模板,配置到阿里云百炼 Token Plan 管理平台的 SAML SSO 单点登录,百炼 Token Plan 管理平台 SSO 企业用户就可从 IDaaS 统一身份认证直接跳转至百炼 Token Plan 管理平台,无需单独登录。
前提条件
已开通阿里云 IDaaS EIAM 实例标准版及以上版本,且实例状态正常。如未创建,请参考创建 IDaaS EIAM 实例。
已拥有阿里云百炼 Token Plan 管理平台的管理员权限。
已在 IDaaS 中完成组织机构和账户的配置。
步骤一:在 IDaaS 添加百炼 Token Plan 模板应用并获取 IdP 信息
登录IDaaS控制台,定位对应的 IDaaS 实例,单击该实例操作列访问控制台,打开 IDaaS 实例。
导航至。
在添加应用 > 应用市场中搜索"阿里云 - 百炼 Token Plan",找到 阿里云 - 百炼 Token Plan 模板。
单击添加应用,在弹出的对话框中输入应用名称,单击立即添加。
进入刚添加的阿里云百炼 Token Plan 应用,导航至 ,在 应用配置信息 模块获取 IdP 唯一标识、IdP SSO 地址、公钥证书 等信息,供步骤二在百炼 Token Plan 管理平台填写时使用。
步骤二:在百炼 Token Plan 管理平台配置 SAML SSO
登录阿里云百炼 Token Plan 管理平台,在左侧导航栏 组织 分组下,单击 设置。
在设置页面中找到 SSO 配置 区域,选择 SAML 标签页,单击 编辑。
在弹出的新建 SSO 配置窗口中填写以下配置项:
配置项
说明
SP Entity ID
自定义填写,作为百炼 Token Plan 的服务提供方实体标识。
IdP Entity ID
填写步骤一中获取的 IdP 唯一标识。
IdP SSO URL
填写步骤一中获取的 IdP SSO 地址。
SP Certificate
填写步骤一中获取的 公钥证书。
单击 确定,完成 SAML SSO 配置。
保存成功后,记录 SP Entity ID 和 组织 ID,供步骤三配置 IDaaS 时使用。
步骤三:配置 IDaaS 中的百炼 Token Plan 应用
返回 IDaaS 管理控制台,进入步骤一创建的阿里云百炼 Token Plan 应用的 登录访问 标签页。
在 单点登录 标签页 单点登录配置 区域,更新以下信息:
SP 身份标识 ID:对应步骤二记录的 SP Entity ID。
组织 ID:对应步骤二记录的 组织 ID。
单击页面下方的 保存 按钮。
切换到 应用授权 标签页,单击 添加授权,依次选择需要使用百炼 Token Plan 的 账户、组 或 组织机构,单击 保存授权。
说明账户、组 或 组织机构 为已在前提条件中配置好的机构或组织。可选择对 账户、组 或 组织机构 中的任意一种进行授权。
步骤四:SSO 登录验证
登录阿里云百炼 Token Plan 管理平台,在左侧导航栏组织分组下,单击设置 > 基本信息 > 管理平台地址,拷贝管理平台地址,打开浏览器访问该地址。
在登录页面中选择 SSO 登录方式。
页面跳转至 IDaaS 进行身份认证,使用已授权的 IDaaS 账号登录。
验证登录结果:
成功确认:自动跳转回百炼 Token Plan 管理平台,且页面右上角显示当前用户信息,即表示 SSO 配置成功。
失败排查:如跳转后出现错误提示,请检查SP Certificate是否正确完整复制、SP Entity ID 与 IdP Entity ID 是否匹配、IdP SSO URL是否正确填写。
配置和使用 SSO 时,请注意以下事项:
配置 SSO 前,请确保至少保留一个本地管理员账号,以防止配置错误导致所有管理员无法登录。
配置 SSO 后,请先使用测试账号验证,确认无误后再推广至全员使用。
百炼 Token Plan 管理平台同时支持 SAML 和钉钉两种 SSO 方式,本文介绍的是 SAML 方式。SAML 适用于企业已有标准 IdP(身份提供方)的场景;钉钉 SSO 适用于以钉钉为主要办公平台的企业。
如需修改 SSO 配置,在百炼 Token Plan 管理平台的 设置 页面单击 编辑 即可更新。也可通过 删除 移除 SSO 配置,或通过 管理成员 管理 SSO 登录的成员范围。