You need to enable JavaScript to run this app.
导航
使用Okta配置SAML用户SSO的示例
最近更新时间:2023.09.07 17:46:58首次发布时间:2023.09.07 17:46:58
目标

企业在Okta中维护了自己的员工身份,希望能够对应登录到的火山引擎上企业账号(账号ID:210*******)下的子用户。本示例中,在Okta有用户user1@email.com,希望能够通过用户SSO单点登录配置,user1@email.com从Okta直接跳转火山引擎登录页面单点登录到火山引擎账号下的子用户user1@email.com。

操作

步骤一:在火山引擎控制台获取SAML服务提供商(SP)元数据

  1. 登录您火山引擎账号的访问控制(IAM)控制台

  2. 身份管理-身份提供商点击创建身份提供商

  3. 在新开启的抽屉中将身份提供商类型选择为SAML,SSO类型选择为用户SSO。在用户SSO的服务提供商元数据URL处,点击URL,后续的步骤中将会使用本URL新开启的页面内的信息。

步骤二:在火山引擎创建IAM用户

在访问控制,身份管理-用户中点击新建用户,用户名为user1@email.com。

步骤三:创建新的Okta应用

Okta作为身份提供商(IdP),需要以“应用”的形式感知服务提供商火山引擎,实现单点登录。为此需要在Okta处创建对应火山引擎的应用。

  1. 登录到Okta门户,点击右上角管理员

  2. 以管理员身份登录到Okta后,点击左侧导航栏内的Applications-Applications,点击Create APP Integration,进入Create a new app integration弹窗,选择SAML2.0,点击Next

  3. Create SAML Integration-General Settings界面中,输入应用名称App name(仅用作在IDP处展示,本示例中可以填写“VolcineDemo”),点击Next

  4. Create SAML Integration-Configure SAML步骤中,完成步骤四中的SAML配置。

步骤四:完成Okta应用的SAML配置

接下来需要为IdP配置基于SAML的单点登录。

  1. 在刚刚创建的应用程序VolcineDemo的Create SAML Integration-Configure SAML步骤中,基于第一步中获取到的SP元数据,配置General栏:

    1. Single sign on URL处,填写AssertionConsumerService元素的Location的值,即 https://signin.volcengine.com/saml/sso。
    2. 同时勾选"Use This for Recipient URL and Destination URL"。
    3. Audience URI(SP Entity ID) 处,填写EntityDescriptor元素的'EntityID'的值,该取值会基于账号ID变动,本示例中为: https://signin.volcengine.com/210*******/saml_user/sso。
    4. NameID format选择Unspecified。
    5. Application Username选择您希望映射为火山引擎IAM子用户的用户名的Okta用户字段。本示例中为Okta username。
  2. 点击Next,按需填写Feedback步骤内容后,点击Finish保存配置。

  3. 在当前应用中,点击Sign On tab,找到SAML SigningCertificates,在状态为Active的Certificate中鼠标悬浮在 Actions,点击View IdP metadata,在新页面中点击右键存储身份提供商的元数据(IdP Metadata)。

步骤五:在Okta中创建用户并分配给应用

此步骤定义在Okta中,有权访问VolcineDemo应用的Okta用户或用户组。

  1. 点击Directory-People,点击左上角Add person,配置用户user1@email.com基本信息。

  2. 点击查看用户详情,在Applications tab下,点击Assign Applications,选择VolcineDemo,点击Assign,点击Done

步骤六:在火山引擎创建用户SSO身份提供商

  1. 回到您火山引擎账号的访问控制(IAM)控制台。

  2. 在步骤一中的身份管理-身份提供商-新建身份提供商抽屉中,选择“开启用户SSO”,并按需填写身份提供商名称,例如Okta_User。最后将步骤四中获取的IdP Metadata元数据文件上传,点击提交

结果验证

完成SSO登录配置后,您可以验证从Okta发起单点登录。

以user1@email.com身份登录Okta门户后,在我的应用程序仪表板中点击VolcineDemo,测试user1@email.com的SSO登录。如果成功跳转到火山引擎SSO登录页面且能够以火山引擎user1@email.com用户的身份登入账号210*******,则表示配置成功。


或您可以验证从火山引擎发起单点登录。

在火山引擎的登录页面中选择“企业联邦登录”登录方式,输入账号ID 210*******后选择对应身份提供商Okta_user,跳转到Okta后进行帐密登录到Okta的user1@email.com身份。登录成功后若能够跳转至火山引擎SSO登陆页,登入对应火山引擎账号的user1@email.com身份,则单点登录配置成功。