使用飞书进行用户SSO的示例

企业在飞书中维护了自己的员工身份，希望能够对应登录到的火山引擎上企业账号（账号ID：2100036560）下的子用户。本示例中，在飞书有用户Alice，并维护了员工的唯一邮箱前缀作为员工的唯一标识(Alice的员工邮箱为Alice_123@enterprise.com)，希望能够通过用户SSO单点登录配置，能够让Alice通过链接基于飞书已经登陆的身份直接跳转火山引擎登录页面单点登录到火山引擎账号下的对应子用户。

步骤一：在火山引擎控制台获取SAML服务提供商（SP）元数据

1. 登录您火山引擎账号的访问控制（IAM）控制台。

2. 在身份管理-身份提供商处上方提示条复制SAML服务商提供元数据URL。

3. 打开复制的URL，将XML文件存储到本地。

步骤二：在火山引擎创建IAM用户

在访问控制，身份管理-用户中点击新建用户，新建火山引擎账号下的子用户，用户名为Alice_123。

步骤三：创建新的飞书集成平台应用

作为身份提供商（IdP），需要以“应用”的形式感知服务提供商火山引擎，实现单点登录。为此需要在飞书处创建对应火山引擎的应用。

1. 使用飞书租户的管理员用户或具有同等权限的飞书用户登录飞书集成平台。

2. 在身份集成-应用单点登录-应用管理下，点击右上角新建应用，创建一个新的应用程序。

3. 在新建应用页面，选择火山引擎（用户SSO）。

4. 在基本配置 页面，配置应用程序的基本信息，此示例中可以填写应用名称为“火山引擎（用户SSO）”，该名称仅用作在IdP处展示，然后单击新建应用。

5. 在第二步登录配置页面中，
   a. 在页面右侧端点信息中，点击下载元数据文档，下载身份提供商（IdP）元数据文件，并将其保存在本地计算机上。
   b. 在页面左侧SAML服务提供商元数据中，上传第一步中火山引擎的SP元数据。
   c. 在页面左侧账户ID中，填入待登录的火山引擎账号ID（此处举例为2100036560）。
   d. 在页面左侧身份提供商名中，填入feishu，该名称同样作为步骤五中创建的火山引擎身份提供商的名称。
   e. 在页面左侧帐号关联标识中，选择使用哪个飞书用户字段进行sso身份映射。建议此处选择在飞书侧维护的全局唯一的字段，且仅包含英文字母的字段，此字段需要与创建的火山引擎IAM用户名一致。本示例中取邮箱名前缀。

配置完成后，点击保存并启用。
页面右侧的IdP sign-in URL即为发起单点登录的地址。

步骤四：在飞书中创建用户并分配给应用

在飞书中创建飞书用户，并在刚刚创建的应用中的访问授权配置可以进行单点登录的飞书用户范围。

步骤五：在火山引擎创建用户SSO身份提供商

1. 登录您火山引擎账号的访问控制（IAM）控制台。

2. 在身份管理-身份提供商处，点击新建身份提供商，选择用户SSO，并填写身份提供商名称为步骤三中填写的Feishu，并将步骤三中获取的IdP Metadata元数据文件上传，点击提交。

完成SSO登录配置后，您可以验证从飞书发起单点登录。
以Alice身份登录OneLogin后，使用步骤三中获取的Idp Signin URL，粘贴到浏览器并访问，若能够跳转至火山引擎SSO登录页、登入对应账号的Alice_123身份，则单点登录配置成功。

或在火山引擎的登录页面中选择“企业联邦登录”登录方式，输入账号名或ID后选择Feishu身份提供商，跳转到Feishu后进行帐密登录。登录成功后若能够跳转至火山引擎SSO登陆页，登入对应账号的Alice_123身份，则单点登录配置成功。