基于SAML2.0进行用户SSO的火山引擎配置

本文介绍基于SAML2.0进行用户SSO的火山引擎侧配置，您首先需要在火山引擎-访问控制创建您的企业身份提供商（IDP），建立火山引擎对IDP的信任。

SSO基本流程

SSO基本流程请参考：用户SSO概述。

操作步骤

1. 请登录火山引擎-访问控制-身份提供商管理。
2. 在身份提供商列表页，点击新建身份提供商按钮。
   1. 身份提供商类型选择SAML；
   2. SSO类型选择用户SSO；
   3. 点击用户SSO的服务提供商元数据URL并下载对应XML文档，在后续步骤中需要上传该文档至IDP系统。
   4. 在用户SSO登录设置中，将开启用户SSO开关打开。开启后可以使用当前的IDP进行用户SSO登录。
      1. 此功能默认关闭，如不开启则当前IDP设置不生效。
      2. 开启后可以使用当前的IDP进行用户SSO登录。开启用户SSO后，您可以选择是否禁用其他登录方式。关闭其他登录方式则将用户的认证收敛在您的IDP处完成，企业用户仅通过SSO方式登录到火山引擎，提升您的账号安全基线。

      说明

      该开关只影响当前账号下的IAM子用户，不影响主账号。另外，此开关与子用户详情页的“控制台登录”配置项无关。

   5. 输入有效的身份提供商名称和备注，建议您选择具有可读性的IDP标识或简称作为身份提供商名称。
   6. 上传您IDP处的元数据文件。

   说明

   IDP文档需要为XML格式，需要包含IDP的登录地址、EntityID等信息，以及有效的X509证书用于后续的SAML SSO安全性校验。

3.点击提交，IDP创建完成。

后续步骤

您需要在火山引擎内部创建对应IAM用户，参考用户管理。

如果IAM用户已经创建，请将火山引擎配置为企业IdP可信的服务提供商（SP）。请参考企业IDP的SAML 2.0 用户SSO配置。