You need to enable JavaScript to run this app.
导航
使用Azure AD进行用户SSO的示例
最近更新时间:2022.12.23 14:57:14首次发布时间:2022.10.08 19:51:50
目标

企业在Azure AD中维护了自己的员工身份,希望能够对应登录到的火山引擎上企业账号(账号ID:2100036560)下的子用户。本示例中,在Azure AD有用户user1,希望能够通过用户SSO单点登录配置,user1从Azure AD直接跳转火山引擎登录页面单点登录到火山引擎账号下的子用户user1。

操作

步骤一:在火山引擎控制台获取SAML服务提供商(SP)元数据

  1. 登录您火山引擎账号的访问控制(IAM)控制台。

  2. 身份管理-身份提供商处上方提示条复制SAML服务商提供元数据URL。

  3. 打开复制的URL,将XML文件存储到本地。

步骤二:在火山引擎创建IAM用户

在访问控制,身份管理-用户中点击新建用户,新建火山引擎账号下的子用户user1。

步骤三:创建新的Azure AD应用

Azure AD作为身份提供商(IdP),需要以“应用”的形式感知服务提供商火山引擎,实现单点登录。为此需要在Azure AD处创建对应火山引擎的应用。

  1. 使用管理员用户登录Azure门户,进入Azure Active Directory控制台。

  2. 企业应用程序中,点击新建应用程序,进入浏览Azure AD库页面,点击创建你自己的应用程序

  3. 创建你自己的应用程序弹窗中,输入应用名称(仅用作在IDP处展示,本示例中可以填写“VolcineDemo”),并选择集成未在库中找到的任何其他应用程序(非库),点击创建,随后跳转至新创建的应用页面。

步骤四:完成Azure AD应用的SAML配置

接下来需要为IdP配置基于SAML的单点登录。

  1. 在刚刚创建的应用程序VolcineDemo的概述页面,点击设置单一登录,跳转至选择单一登录方法,选择**SAML****。

  2. 跳转至设置SAML单一登录页面:

    1. 首先在左上角点击上载元数据文件,将步骤一中获取的SP Metadata XML文件上传。

    2. 基本SAML配置中,配置:

      1. 标识符(实体ID)回复URL断言使用者服务 URL):需要填写SP Metadata文件中自动读取的Location的值,请注意此处标识符实体 ID)自动解析的值需要手动改为Location的值,即 https://signin.volcengine.com/saml/sso。

      2. 登录URL中继状态注销URL:本示例中可以置空。

    配置完成后点击保存

    1. 属性和索赔中,定义在火山引擎处需要登录的账号下的用户和角色,需要配置:
      1. 必需声明:必需声明用于配置唯一用户标识符,配置为对应变量后,此字段根据在Azure AD执行单点登录的用户不同而变动。因此此字段将在火山引擎的云审计记录中记录下当前操作人的信息。您可根据Azure AD的引导配置您所需的唯一用户标识符,火山引擎无特殊要求。

      2. 其他声明:删除自动配置的声明后,点击添加新的声明。在选择格式名称栏,选择名称格式为URI选择属性。其中名称和源属性值,根据SAML Response中的字段声明,配置两条新的声明:

        • 身份属性,配置名称为:https://www.volcengine.com/SAML/Attributes/Identity,值为要登录的角色或用户的trn,需要登录几个角色或用户就配置几条身份属性声明。本示例中,源属性值需要配置为:trn:iam::2100036560:user/user1,trn:iam::2100036560:saml-provider/Azure_AD_user,其中Azure_AD_user为未来步骤六中创建的身份提供商名称。

        • 会话名称属性,配置名称为:https://www.volcengine.com/SAML/Attributes/SessionName,源属性值配置为常值即可,仅用作记录和展示。

  3. SAML证书中,点击联合元数据XML下载,获取身份提供商的元数据(IdP Metadata)。

步骤五:在Azure AD中创建用户并分配给应用

此步骤定义在Azure AD中,有权访问VolcineDemo应用的Azure AD用户或用户组。

  1. 点击管理-用户和组,点击左上角添加用户/组

  2. 添加分配页面,点击用户和组,选择user1,点击选择,点击分配

步骤六:在火山引擎创建用户SSO身份提供商

  1. 登录您火山引擎账号的访问控制(IAM)控制台。

  2. 身份管理-身份提供商处,点击新建身份提供商,选择用户SSO,并填写身份提供商名称为步骤四中填写的Azure_AD_user,并将步骤四中获取的IdP Metadata元数据文件上传,点击提交

结果验证

完成SSO登录配置后,您可以验证从Azure AD发起单点登录。

方法一:

以user1身份登录Azure AD后,在Azure Active Directory-企业应用程序中选择VolcineDemo,在设置单一登录中,点击上方Test此应用程序,选择作为当前用户登录,点击测试登录

方法二:

Azure Active Directory-企业应用程序中选择VolcineDemo,在左侧管理-属性中,复制用户访问URL,该URL为用户直接访问VolcineDemo应用程序的链接。
user1获取该URL后,粘贴到自己的浏览器中,使用自己的账号登录。