访问控制：使用AD FS进行角色SSO的示例

基本流程

员工进行控制台登录的基本流程如下图所示。

AD管理员在完成角色联合登录的配置后，企业员工（Alice）可以通过如图所示的方法登录到阿里云控制台。更多信息，请参见SAML角色SSO概览。

上述过程表示，用户登录时，企业会进行统一登录认证，无需用户提供在阿里云上的任何用户名和密码。

步骤一：在阿里云中将AD FS配置为可信SAML IdP

1. 在阿里云RAM控制台，创建身份提供商（ADFS），并配置相应的元数据。AD FS的元数据URL为https://<ADFS-server>/federationmetadata/2007-06/federationmetadata.xml。
   说明 <ADFS-server>是您的AD FS服务器域名或IP地址。

   具体操作，请参见进行角色SSO时阿里云SP的SAML配置。

   说明 如果元数据文件超过大小限制，您可以尝试删除<fed:ClaimTypesRequested>和<fed:ClaimTypesOffered>中的所有内容。
2. 在阿里云账号Account1中创建两个可信实体类型为身份提供商的RAM角色（ADFS-Admin和ADFS-Reader），选择刚刚创建的ADFS作为可信身份提供商，并对两个角色分别授予AdministratorAccess和ReadOnlyAccess权限。
   具体操作，请参见创建可信实体为身份提供商的RAM角色。
3. 使用同样的方法，在Account2中创建与Account1中同名的身份提供商（ADFS）和角色（ADFS-Admin和ADFS-Reader），并为两个角色分别授予AdministratorAccess和ReadOnlyAccess权限。

步骤二：在AD FS中将阿里云配置为可信SAML SP

在AD FS中，SAML SP被称作信赖方（Relying Party）。设置阿里云作为AD FS的可信SP的操作步骤如下。

1. 在服务器管理器的工具菜单中选择AD FS管理。
2. 在AD FS管理工具中添加信赖方信任。
   
3. 为新创建的信赖方设置阿里云的角色SSO的SAML SP元数据，元数据URL为https://signin.alibabacloud.com/saml-role/sp-metadata.xml。
   
4. 按照向导完成配置。

步骤三：为阿里云SP配置SAML断言属性

阿里云需要AD FS在SAML断言中提供NameID、Role和RoleSessionName属性。AD FS中通过颁发转换规则来实现这一功能。

• NameID

  配置Active Directory中的Windows账户名为SAML断言中的NameID，其操作步骤如下。

  1. 为信赖方编辑声明规则。
  2. 添加颁发转换规则。
     说明 颁发转换规则（Issuance Transform Rules）：指如何将一个已知的用户属性，经过转换后，颁发为SAML断言中的属性。由于我们要将用户在AD中的Windows账户名颁发为NameID，因此需要添加一个新的规则。
  3. 声明规则模版选择转换传入声明。
  4. 使用如下配置规则，并单击完成。
     • 声明规则名称：NameID
     • 传入声明类型：Windows账户名
     • 传出声明类型：名称ID
     • 传出名称ID格式：永久标识符
     • 传递所有声明值：勾选
     

     配置完成后，AD FS将发送阿里云需要的NameID格式。

     <NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">
         YourDomain\rolessouser
     </NameID>

• RoleSessionName

  配置Active Directory中的UPN为SAML断言中的RoleSessionName，其操作步骤如下。

  1. 单击添加转换声明规则。
  2. 从声明规则模板中选择以声明方式发送LDAP特性。
  3. 使用如下配置规则，并单击完成。
     • 声明规则名称：RoleSessionName
     • 特性存储：Active Directory
     • LDAP 特性列：User-Principal-Name（您也可以根据具体需求选择其他属性，例如email。）
     • 传出声明类型：https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName
     

  配置完成后，AD FS将发送阿里云需要的RoleSessionName格式。

  <Attribute Name="https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName">
      <AttributeValue>rolessouser@example.com<AttributeValue>
  </Attribute>

• Role

  通过自定义规则将特定的用户所属组的信息转化成阿里云上的角色名称，其操作步骤如下。

  1. 单击添加转换声明规则。
  2. 从声明规则模板中选择使用自定义规则发送声明，单击下一步。
  3. 使用如下配置规则，并单击完成。
     • 声明规则名称：Get AD Groups
     • 自定义规则：

       c:[Type =="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory",types = ("http://temp/variable"), query = ";tokenGroups;{0}", param =c.Value);

     
     说明 这个规则获取用户在AD中所属组的信息，保存在中间变量http://temp/variable中。
  4. 单击添加转换声明规则。
  5. 重复以上步骤，并单击完成。
     • 声明规则名称：Role
     • 自定义规则：

       c:[Type == "http://temp/variable", Value =~ "(?i)^Aliyun-([\d]+)"] => issue(Type = "https://www.aliyun.com/SAML-Role/Attributes/Role",Value = RegExReplace(c.Value, "Aliyun-([\d]+)-(.+)", "acs:ram::$1:role/$2,acs:ram::$1:saml-provider/<provider-name>"));

       说明 <provider-name>为步骤一：在阿里云中将AD FS配置为可信SAML IdP中创建的身份提供商名称。本示例中为ADFS。
     

     根据这个规则，如果用户所属的AD组中包含Aliyun-<account-id>-ADFS-Admin或Aliyun-<account-id>-ADFS-Reader，则将生成一个SAML属性，映射到阿里云上的角色ADFS-Admin或ADFS-Reader。

  配置完成后，IdP将返回阿里云所需要的SAML断言片段，如下所示。

  <Attribute Name="https://www.aliyun.com/SAML-Role/Attributes/Role">
      <AttributeValue>acs:ram::<account-id>:role/ADFS-Admin,acs:ram::<account-id>:saml-provider/<provider-name></AttributeValue>
  </Attribute>

验证结果

1. 登录AD FS SSO门户（URL：https://<ADFS-server>/adfs/ls/IdpInitiatedSignOn.aspx），选择阿里云应用，输入用户名密码。
   说明 <ADFS-server>是您的AD FS服务器域名或IP地址。如果网页不可用，可以通过PowerShell开启：Set-AdfsProperties –EnableIdpInitiatedSignonPage $True。

   
2. 在阿里云角色SSO页面，选择一个您要登录的角色，单击登录。
   说明 如果您的用户在AD中只加入了一个组，则在阿里云上只会对应一个角色，该用户将直接登录，无需选择角色。