基于SAML2.0的角色SSO的企业IDP配置

本文介绍基于SAML2.0进行角色SSO的企业IDP侧配置，您首先需要在企业IDP系统中创建火山引擎服务提供商（SP），建立IDP对火山引擎的信任。

SSO基本流程

SSO基本流程请参考：角色SSO概述。

操作步骤

1. 如您未下载火山引擎的SP元数据，请先获取元数据文档。
   1. 登录火山引擎-访问控制-身份提供商管理。
   2. 找到已经创建的SAML元数据身份提供商，点击身份提供商名称在身份提供商详情页的元数据文件下方的角色SSO的服务提供商元数据URL。该URL可快捷复制。
   3. 下载角色SSO的服务提供商元数据。
2. 在企业IDP，基于已经获取的SP元数据，创建火山引擎服务提供商，建立企业IDP对火山引擎的信任。该过程基于不同IDP的情况可能的配置方式有：
   1. 直接提供SP元数据的URL；
   2. 上传步骤1中下载的元数据文件；
   3. 基于元数据文件中的内容，手动在企业IDP中配置SP相关参数：
      1. Entity ID：配置为元数据文件中EntityDescriptor元素中的entityID属性值，示例:https://www.volcengine.com/。
      2. ACS URL：下载的元数据XML中，AssertionConsumerService元素的Location属性值。示例：https://signin.volcengine.com/saml/sso
      3. RelayState（可选）：如果您希望在SSO登录后自动跳转至火山引擎的某个产品界面，若企业IDP支持配置，则可通过RelayState参数指定登录的火山引擎产品控制台URL。请注意，此处URL须为火山引擎console.volcengine.com域名下的URL。

后续步骤

您需要在企业IDP中配置SAML响应的相关返回参数，为后续SSO登录提供系统互信、身份映射等基础信息。请参考：角色SSO的SAML响应。