用户SSO概述

用户SSO指在建立企业自有身份管理系统作为IdP、火山引擎作为SP的互信关系后，用户通过企业自有身份管理系统登陆后可以以某一对应IAM用户身份访问火山引擎。

用户SSO适用于：

• 您在火山引擎的资源权限管理已经依托IAM用户的权限配置完毕，希望通过企业IdP用户身份对应到相应IAM用户实现云资源的权限控制。

• 您希望简化IdP的自定义配置，或您没有使用角色SSO的业务需求。

• 您在火山引擎购买的某些产品不支持IAM角色身份使用，仅支持子用户使用，希望能够支持使用该类产品的子用户实现企业IdP单点登录。

用户SSO支持基于SAML2.0和基于OAuth2.0两种协议的对接方式。

1.1 SAML SSO 基本流程

以SAML协议为例，一个SSO的流程图如下：

1. 企业用户浏览器直接通过火山引擎登陆界面或通过第三方IdP登陆界面链接发起单点登录请求。

2. 火山引擎SSO服务向企业用户浏览器发送SAML Request。

3. 企业用户浏览器转发SAML断言请求。

4. IdP认证已登录用户并发送含有企业用户对应的IAM用户信息的SAML断言。

5. 企业用户浏览器向火山引擎SSO服务转发SAML断言。

6. SSO服务解析SAML并通过SAML互信配置，验证SAML断言真伪。

7. SAML解析后通过其内部信息匹配对应的IAM用户。

8. 火山引擎SSO服务向企业用户浏览器返回火山引擎控制台URL。

9. 企业用户浏览器重定向，企业用户使用对应IAM用户身份登录火山引擎控制台。

1.2 SAML 配置基本步骤

为了实现用户SSO，需要配置IdP和SP的互信关系，并建立企业IdP用户与IAM用户的对应关系。

1. 首先将企业IdP配置为火山引擎的可信身份提供商。请参考火山引擎的SAML 2.0 用户SSO配置。请注意，单个火山引擎账号下仅支持一个用户SSO类型身份提供商。

2. 其次将火山引擎作为SP配置为企业IdP可信的服务提供商。请参考企业IDP的SAML 2.0 用户SSO配置。

3. 在发起用户SSO前，需要在火山引擎内部创建对应IAM用户，参考用户管理。随后在企业IdP处配置SAML断言内容，完成最终的IAM用户和企业用户的映射工作。请参考企业IDP的SAML 2.0 用户SSO配置。

4. 登录时进入到SSO登录界面时选择用户SSO即可使用该IAM用户身份登录至火山引擎控制台。

2.1 OAuth SSO基本流程和配置步骤

参考基于OAuth2.0的单点登录配置