当企业需要统一管理开发者的 IDE 账号时,可通过 IDaaS 企业身份管理服务为 Qoder 配置单点登录(SSO),实现企业成员使用统一身份认证登录 Qoder。本文介绍基于 SAML 2.0 协议配置 Qoder SSO 的完整流程。
前提条件
已创建 IDaaS EIAM 实例。如未创建,请参考创建 IDaaS EIAM 实例。
需具备 Qoder 企业的管理员权限。
需完成 Qoder 中的企业邮箱域名所有权验证,确保只有符合企业邮箱域名的用户能够加入组织。
需具备 Qoder 企业邮箱域名的 DNS 记录修改权限。
基于 SAML 2.0 协议配置 SSO
本章节介绍如何通过 IDaaS EIAM 应用市场中的 Qoder SSO 模板,基于 SAML 2.0 协议配置 Qoder 单点登录。
步骤一:Qoder 完成域名验证
登录 Qoder,点击控制台右上角的个人账号信息,进入企业设置 -> 安全与身份模块。
找到域名验证模块,点击右侧添加按钮,在弹出框中输入企业邮箱域名(如
example.com),单击继续。按照弹出框内容提示,在域名中新增一条类型为TXT 的DNS记录。
单击验证,等待验证通过。
请务必先完成 Qoder 的域名验证,再进行后续 SSO 配置。
步骤二:获取 Qoder 组织 ID
登录 Qoder,点击控制台右上角的个人账号信息,进入企业设置。
在企业基本信息中找到并复制组织 ID。
步骤三:IDaaS 应用市场添加 Qoder SSO 模板
登录IDaaS控制台,查找对应的IDaaS实例,单击该实例操作列访问控制台,进入IDaaS实例。
导航至。
在添加应用应用市场中搜索"Qoder",找到 Qoder 模板。
单击添加应用。
输入应用名称,单击立即添加。
步骤四:IDaaS 中配置 Qoder 应用
导航至,选中 Qoder 应用,点击进入Qoder应用详情页。
点击切换到 登录访问页面,在配置表单中填入Qoder 组织 ID(从步骤二中拷贝)。
配置应用账户:进入,单击添加应用账户,找到要添加的账户名,单击保存。
配置应用授权:进入,选择授权类型,单击添加授权,选择需要使用 Qoder SSO 登录的账户、组或者组织机构,单击保存授权。
步骤五:将 IDaaS 元数据配置到 Qoder
导航至,选中 Qoder 应用,点击进入,查看应用配置信息。
登录 Qoder,进入企业设置 -> 安全与身份模块,根据上一步查看到的应用配置信息完成 Qoder 的 SAML IdP 元数据配置(推荐方式:直接输入IdP SSO URL,Qoder 自动抓取所有参数)。
在 Qoder 中配置用户属性映射:
Qoder 字段
映射 IDaaS 属性
email
user.email
name
user.username
步骤六:Qoder 测试 SSO 并正式启用
在 Qoder SAML 配置页单击测试 SSO。
确认测试通过后,开启测试 SSO 右侧的开关。
步骤七:SSO 验证
使用 IDaaS 用户账号登录到阿里云 IDaaS 应用门户,找到 Qoder 应用,点击发起 SSO 登录。
IDaaS 用户的邮箱必须与 Qoder 中已验证的企业邮箱域名一致,否则无法完成账号映射。例如 Qoder 验证的域名为 example.com,则 IDaaS 用户邮箱须为 xxx@example.com。
系统自动跳转至 Qoder 并完成登录。
Qoder 管理员进入企业设置 -> 成员管理,查询该用户是否已自动创建。
注意事项
启用 SSO 后请勿立即登出当前管理员账号。应安排其他已验证账号先行试登录,确认流程无误后再退出,以防配置异常时失去管理员修复权限。
注意点 | 说明 |
域名验证优先 | 必须先完成域名验证,否则无法启用 SSO |
账号邮箱一致 | IDaaS 用户的邮箱属性须与 Qoder 账号邮箱一致,否则无法完成账号映射 |
授权范围 | 测试阶段建议开放全员授权,上线后再按需配置 |
管理员保护 | 正式启用前安排备用管理员账号测试,避免锁定 |