You need to enable JavaScript to run this app.
导航
访问控制
  • 文档首页
    • /
  • 访问控制

使用Okta进行用户SSO的示例

最近更新时间2022.12.23 14:57:14

首次发布时间2022.10.08 19:51:50

我的收藏
目标

企业在Okta中维护了自己的员工身份,希望能够对应登录到的火山引擎上企业账号(账号ID:2100036560)下的子用户。本示例中,在Okta有用户user1,希望能够通过用户SSO单点登录配置,user1从Okta直接跳转火山引擎登录页面单点登录到火山引擎账号下的子用户user1。

操作

步骤一:在火山引擎控制台获取SAML服务提供商(SP)元数据

  1. 登录您火山引擎账号的访问控制(IAM)控制台。

  2. 身份管理-身份提供商处上方提示条复制SAML服务商提供元数据URL。

  3. 打开复制的URL,将XML文件存储到本地。读取AssertionConsumerService元素的Location的值,即 https://signin.volcengine.com/saml/sso。

步骤二:在火山引擎创建IAM用户

在访问控制,身份管理-用户中点击新建用户,新建火山引擎账号下的子用户user1。

步骤三:创建新的Okta应用

Okta作为身份提供商(IdP),需要以“应用”的形式感知服务提供商火山引擎,实现单点登录。为此需要在Okta处创建对应火山引擎的应用。

  1. 登录到Okta门户,点击右上角管理员

  2. 以管理员身份登录到Okta后,点击左侧导航栏内的Applications-Applications,点击Create APP Integration,进入Create a new app integration弹窗,选择SAML2.0,点击Next

  3. Create SAML Integration-General Settings界面中,输入应用名称App name(仅用作在IDP处展示,本示例中可以填写“VolcineDemo”),点击Next

  4. Create SAML Integration-Configure SAML步骤中,完成步骤四中的SAML配置。

步骤四:完成Okta应用的SAML配置

接下来需要为IdP配置基于SAML的单点登录。

  1. 在刚刚创建的应用程序VolcineDemo的Create SAML Integration-Configure SAML步骤中,配置General栏:

    1. Single sign on URLAudience URI(SP Entity ID) 两个字段后填入步骤一中获取的Location的值,即 https://signin.volcengine.com/saml/sso。

    2. 勾选Single sign on URL字段下的Use this for Recipient URL and Destination URL

    3. 其余字段可以保持默认状态。

  2. Attribute Statement一栏中,配置SSO登入的身份信息和会话名称:

    1. 点击Add another,配置身份属性声明,配置名称(Name)为:https://www.volcengine.com/SAML/Attributes/Identity,值(Value)为要登录的角色或用户的trn,需要登录几个角色或用户就配置几条身份属性声明。本示例中,源属性值需要配置为:trn:iam::2100036560:user/user1,trn:iam::2100036560:saml-provider/Okta_user,其中Okta_user为未来步骤六中创建的身份提供商名称。Name format保持默认。

    2. 再点击Add another,配置会话名称属性声明,配置名称(Name)为:https://www.volcengine.com/SAML/Attributes/SessionName,值(Value)配置为常值即可,仅用作记录和展示。

  3. 点击Next,按需填写Feedback步骤内容后,点击Finish保存配置。

  4. 在当前应用中,点击Sign On tab,找到SAML SigningCertificates,在Active的Certificate中鼠标悬浮在 Actions,点击View IdP metadata,在新页面中点击右键存储身份提供商的元数据(IdP Metadata)。

步骤五:在Okta中创建用户并分配给应用

此步骤定义在Okta中,有权访问VolcineDemo应用的Okta用户或用户组。

  1. 点击Directory-People,点击左上角Add person,配置用户user1基本信息。

  2. 点击查看用户详情,在Applications tab下,点击Assign Applications,选择VolcineDemo,点击Assign,点击Done

步骤六:在火山引擎创建用户SSO身份提供商

  1. 登录您火山引擎账号的访问控制(IAM)控制台。

  2. 身份管理-身份提供商处,点击新建身份提供商,选择用户SSO,并填写身份提供商名称为步骤四中填写的Okta_user,并将步骤四中获取的IdP Metadata元数据文件上传,点击提交

结果验证

完成SSO登录配置后,您可以验证从Okta发起单点登录。

以user1身份登录Okta门户后,在我的应用程序仪表板中点击VolcineDemo,测试user1的SSO登录。如果成功跳转到火山引擎SSO登录页面且能够以火山引擎user1用户的身份登入账号2100036560,则表示配置成功。


或您可以验证从火山引擎发起单点登录。

在火山引擎的登录页面中选择“企业联邦登录”登录方式,输入账号ID 2100036560后选择对应身份提供商Okta_user,跳转到Okta后进行帐密登录到Okta的user1身份。登录成功后若能够跳转至火山引擎SSO登陆页,登入对应火山引擎账号的user1身份,则单点登录配置成功。