You need to enable JavaScript to run this app.
导航
角色SSO概述
最近更新时间:2023.08.17 23:07:23首次发布时间:2023.08.17 23:07:23

角色SSO

角色SSO概述

角色SSO指在建立企业自有身份管理系统作为IdP、火山引擎作为SP的互信关系后,用户通过企业自有身份管理系统登陆后可以通过扮演对应的IAM角色身份访问火山引擎。单个企业用户可以扮演一个或多个IAM角色。
角色SSO适用于:

  • 为了避免用户管理成本,您不希望在火山引擎创建过多IAM用户。

  • 您只需通过IdP登陆页面发起登录请求,跳转登录火山引擎控制台。

  • 您的公司内部使用多个不同IdP,您需要在同一个账号下配置多个IdP的单点登录。

具体流程图如下:
角色SSO握手流程图

  1. 企业用户浏览器通过第三方IdP登陆界面火山引擎应用链接发起单点登录请求。

  2. IdP认证已登录用户并发送含有企业用户对应的IAM角色信息的SAML断言。

  3. 企业用户浏览器向火山引擎SSO服务转发SAML断言。

  4. SSO服务解析SAML并通过SAML互信配置,验证SAML断言真伪。

  5. SAML解析后通过其内部信息匹配对应的一个或多个IAM角色。

  6. 火山引擎SSO服务向企业用户浏览器返回火山引擎控制台URL。

  7. 企业用户浏览器重定向,企业用户选择所需的IAM角色身份,通过角色扮演登录火山引擎控制台访问对应资源。

SAML 配置基本步骤

为了实现角色SSO,需要配置IdP和SP的互信关系,并建立企业IdP用户与IAM用户的对应关系。

  1. 首先将企业IdP配置为火山引擎的可信身份提供商。请参考火山引擎的SAML 2.0 角色SSO配置。角色SSO类型的身份提供商支持多个(上限为100个)。

  2. 其次在IAM控制台创建IAM角色,同时为角色赋予相关权限。如果您需要多个具有不同权限的IAM角色,建议您将IAM角色命名规范化,例如{$IdP}_role,其中IdP可以为ADFS、Okta等,role为rd、sre、admin等。参考角色管理。请注意,角色的信任身份类型需要为身份提供商,且选择步骤1中创建好的身份提供商。

  3. 其次将火山引擎作为SP配置为企业IdP可信的服务提供商。请参考企业IDP的SAML 2.0 SSO配置

  4. 随后在企业IdP处配置SAML断言内容,完成最终的IAM角色和企业用户的映射工作。请参考角色SSO的SAML响应

  5. 登录时进入到SSO登录界面时选择需要登录的角色即可扮演该IAM角色身份登录至火山引擎控制台。