本文介绍如何在飞连管理后台使用 SAML 协议为阿里云应用启用单点登录 (SSO),实现用户通过飞连直接访问阿里云应用,无需输入账号和密码。
使用说明
阿里云应用支持两种单点登录管理方式:角色 SSO 和用户 SSO。本文将结合角色 SSO 和用户 SSO 依次介绍如何在飞连管理后台实现飞连与阿里云应用的互联。
配置角色 SSO
完成以下步骤,实现飞连用户通过角色 SSO 直接访问阿里云应用:
阿里云 RAM 控制台操作步骤
- 使用您的企业账户登录 RAM 控制台。
- 在左侧导航栏,单击集成管理 > SSO 管理。
- 在 SSO 管理页面,单击角色 SSO > SAML 页签。
- 在 SAML 页签,单击创建身份提供商。
- 在创建身份提供商页面,填写以下信息并单击确定。
- 身份提供商名称:填写您的身份提供商名称。
本文使用 Feilian 作为新建身份提供商的示例名称。 - 备注:根据实际情况填写备注信息。
- 元数据文档:单击上传文件,上传身份提供商的元数据文件。
- 在 SSO 管理页面,根据页面提示,使用阿里云 SAML 服务提供商元数据 URL 下载服务提供商的元数据文件。
将该元数据文件保存为 XML 格式并存储到本地。
- 在左侧导航栏,单击身份管理 > 角色。
- 在角色页面,单击创建角色。
- 在创建角色页面,完成以下步骤:
- 在选择可信实体类型配置项,勾选身份提供商并单击下一步。
- 填写角色名称、备注并选择您在步骤 5 中新创建的身份提供商。
说明
本文使用 FeilianIdP 作为新创建角色的示例名称。
- 单击完成。
- 在角色页面,单击新创建的角色名称,进入角色详情页。
- 在角色详情页的基本信息区域,找到角色资源描述符(ARN)并单击复制。
将角色 ARN 值保存到本地,以便后续使用。
- 在左侧导航栏,单击集成管理 > SSO 管理。
- 在SSO 管理页面,单击Feilian(步骤 5 中新创建的身份提供商示例名称)。
- 在身份提供商详情页,找到身份提供商资源描述符 ARN 并将ARN值保存到本地。
飞连管理后台操作步骤
- 登录飞连管理后台。
- 在左侧导航栏,单击应用列表。
- 在应用列表页面,单击应用市场。
- 在添加新应用页面的筛选条件区域,设置筛选条件搜索阿里云角色 SSO 应用模板卡片。
- 在搜索结果区域,单击该应用模版卡片,并在所选模板卡片的右下角,单击添加。
- 在填写应用信息页面,配置应用信息并单击确定。
单击确定后,页面将自动跳转到新建应用的应用授权页签。
配置项说明如下:
- 在基本信息区域,填写应用名称、应用访问地址和应用描述。
- 在应用功能区域,完成以下配置:
- 在单点登录区域的 IDP Metadata 配置项,查看和下载飞连的元数据文件。
- 在单点登录区域的阿里云 Metadata 文件配置项,上传此前保存的阿里云 SAML 服务提供商元数据文件。
请确保该元数据文件具备阿里云要求的必要元素,否则将影响 SSO 认证登录。
元数据文件示例如下:
- (可选)在应用网关区域,勾选应用网关功能,并且填写应用网关配置项。
应用网关的配置项说明,请参见添加应用。
- 在左侧导航栏,单击角色管理。
- 在角色管理页面的角色列表下方,单击自定义新建,创建一个新角色。
- 在添加角色页面,根据实际情况配置以下角色参数并单击确定。
- 角色名称:使用以下格式填写角色名称:
角色的ARN + ',' + 身份提供商的ARN
。例如, acs:ram::5200700546780089:role/feilianidp,acs:ram::5200700546780089:saml-provider/Feilian
。 - 角色描述:填写角色描述,用于理解该角色的职能。
- 角色类型:可选静态角色和动态角色。
本文以配置静态角色为例。关于角色参数的更多说明,请参见角色管理。 - 静态角色范围: 将静态角色分配给指定成员或部门。
- 在左侧导航栏,单击应用列表。
- 在应用列表页面,找到您之前新建的阿里云角色 SSO 应用,单击应用名称进入详情页。
- 在应用授权页签的角色权限区域,单击+添加角色。
- 在下拉列表中选择您此前新创建的角色,并单击确认。
- 在该应用的单点登录页签,按照以下说明将 SAML 用户属性映射到飞连。
- 在映射关系区域,单击编辑。
- 在编辑映射关系对话框,完成以下步骤并单击确定。
- 单击添加映射。
当您单击添加映射后,页面将自动新增一组对应字段。
在新增对应字段的下拉列表中,您可以选择相应的字段或者单击添加扩展字段创建自定义字段。
- 重复上述步骤可添加多个映射关系。
本文列出了一些 SAML 元素供您参考。有关 SAML 元素的更多信息,请参见角色SSO的SAML响应。
元素名称 | 说明 |
---|
RoleSessionName
| 该元素是必需元素,仅包含一个 AttributeValue 元素。 AttributeValue 的长度必须为 2-64 个字符,并且只能包含字母、数字和以下特殊符号: 以下是一个 RoleSessionName 元素的示例: <Attribute Name="https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName">
<AttributeValue>user_id</AttributeValue>
</Attribute>
|
Role
| 该元素是必需元素,包含一个或多个 AttributeValue 元素。 AttributeValue 元素的取值代表身份提供商允许当前用户扮演的角色。 AttributeValue 取值的格式是由角色 ARN 和身份提供商 ARN 组合而成,中间用半角逗号隔开。您可以在 RAM 控制台中获取角色 ARN 和身份提供商 ARN。 - 角色 ARN:在角色页面,单击 RAM 角色名称,然后在基本信息区域查看对应的 ARN。
- 身份提供商 ARN:在 SSO 管理页面的单点登录页签下,单击 SAML 页签和身份提供商名称,然后在身份提供商信息区域查看对应的 ARN。
以下是一个 Role 元素的示例: <Attribute Name="https://www.aliyun.com/SAML-Role/Attributes/Role">
<AttributeValue>acs:ram::$account_id:role/role1,acs:ram::$account_id:saml-provider/provider1</AttributeValue>
<AttributeValue>acs:ram::$account_id:role/role2,acs:ram::$account_id:saml-provider/provider1</AttributeValue>
</Attribute>
|
配置用户 SSO
完成以下步骤,实现飞连用户通过用户 SSO 直接访问阿里云应用:
阿里云 RAM 控制台操作步骤
- 使用您的企业账户登录 RAM 控制台。
- 在左侧导航栏,单击集成管理 > SSO 管理。
- 在 SSO 管理页面,单击用户 SSO 页签。
- 在用户 SSO 页签,完成以下步骤:
- 根据页面提示,使用 SAML 服务提供商元数据 URL 下载服务提供商的元数据文件。
将该元数据文件保存为 XML 格式并存储到本地。
- 在 SSO 登录设置区域右侧,单击编辑按钮。
- 在编辑 SSO 登录设置页面,完成以下步骤并单击确定。
- 将 SSO 功能状态设置为开启并上传从飞连管理后台获得的飞连元数据文件。
飞连元数据文件的 URL 示例如下:https://{domain_name}/api/idp/metadata
- 根据实际情况启用辅助域名功能并输入您的辅助域名。
- 在左侧导航栏,单击身份管理 > 设置。
- 在设置页面,按照以下说明完成单点登录的高级设置。
- 在设置页面,单击高级设置页签。
- 在高级设置页签,编辑默认域名。
- 在高级设置页签,根据实际情况创建域别名并完成域名归属验证。
- 在左侧导航栏,单击身份管理 > 用户。
- 在用户页面,按照以下说明为飞连用户创建一个 RAM 用户。
- 单击创建用户。
- 在创建用户页面,根据页面提示配置用户的登录名称和显示名称,并单击确定。
说明
该用户的登录名称需要与其登录电子邮箱中使用的用户名保持一致。
飞连管理后台操作步骤
- 登录飞连管理后台。
- 在左侧导航栏,单击应用列表。
- 在应用列表页面,单击应用市场。
- 在添加新应用页面的筛选条件区域,设置筛选条件搜索阿里云用户 SSO 应用模板卡片。
- 在搜索结果区域,单击该应用模版卡片,并在所选模板卡片的右下角,单击添加。
- 在填写应用信息页面,配置应用信息并单击确定。
当您完成该步骤后,页面将自动跳转到新创建应用的应用授权页签。
配置项说明如下:
- 在基本信息区域,填写应用名称、应用访问地址和应用描述。
- 在应用功能区域,完成以下配置:
在单点登录区域的 IDP Metadata 配置项,查看和下载飞连的元数据文件。
在单点登录区域的阿里云 Metadata 文件配置项,上传此前保存的阿里云 SAML 服务提供商元数据文件。
请确保元数据文件具备阿里云要求的必要元素,否则将影响 SSO 认证登录。
元数据文件示例如下:
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="0001-01-01T00:00:00Z" entityID="https://signin-intl.aliyun.com/5343775776290963/saml/SSO" ID="https___signin-intl.aliyun.com_5343775776290963_saml_SSO">
<SPSSODescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" WantAssertionsSigned="true">
<KeyDescriptor use="signing">
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>MIIDLjCCAhagAwIBAgIEW3Fa4DANBgkqhkiG9w0BAQsFADBZMQswCQYDVQQGEwJDTjERMA8GA1UE
BxMISGFuZ3pob3UxFDASBgNVBAoTC0FsaWJhYmEgSW5jMQ8wDQYDVQQLEwZBcHNhcmExEDAOBgNV
BAMTB0FsaWJhYmEwHhcNMTgwODEzMTAxODA4WhcNMjgwODEwMTAxODA4WjBZMQswCQYDVQQGEwJD
TjERMA8GA1UEBxMISGFuZ3pob3UxFDASBgNVBAoTC0FsaWJhYmEgSW5jMQ8wDQYDVQQLEwZBcHNh
cmExEDAOBgNVBAMTB0FsaWJhYmEwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCJhxKi
ZvtUMTZkMTcxZhFsbPkgEyDSpDLbQkgJuoxjCdDzH4Sm7To+NfW7VKfrVv+2KB5qCLLX0BtisFvo
qn6jEUPjaLOhkAcdRIjB8WtJe6PM/Ff2tMDbGpGxqY/VpOkyKF24lR3naRyIofz2+1BCFTqM21hu
q40QXUyTinyJxpC40bsegWOsmPHrAgWS0Rtl9Trr5TEKcotjSU+6XhOX+zizwVKG7yPWNeO0mXgR
ZDwfvSocuGhlJv6mpccQnQDd8GrDDkMtqPhoynF2le+at+Ex6eWiUhMrILYV+SuxTLvIF0Gk6tZ7
KlkjeSbTlV4/QursMjBh6Wv+vlCBk0qvAgMBAAEwDQYJKoZIhvcNAQELBQADggEBACDjIbiiT3ZB
yirDWxnJBJ+Oh+EGQU6gBlLDAhyaDQQrC2eCVs6qWXxeMTN/Ml/WoXl6FM0AzjGaWjlvAySSqoHP
NFoRVROI2QuE2kF/8LHfc0O8DoETT7iNSpXGRZz7p1IC1kqCE+XfosTUWMYUc6wqjD1uAUjMt4tV
C6RRolHxN54bJcBxK48m7jVH0SS30Wih0puBN/LCCgkOLsbl5W6HbvIXgCM8qs+HKCvb0CXu5AoT
LLiDzaLU0PwWSKBm42evOfkfoyK6ZaCh/31kZdeSnc8R0vupkJzHimhyBE6SUQt/BYTCLHBAjnaL
SP/MoAfUNsBm9hefivC3lZ8Cu6M=</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>
<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat>
<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</NameIDFormat>
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://signin-intl.aliyun.com/saml/SSO" index="0" isDefault="true"></AssertionConsumerService>
</SPSSODescriptor>
</EntityDescriptor>
(可选)在应用网关区域,勾选应用网关功能,并且填写应用网关配置项。
应用网关的配置项说明,请参见添加应用。
- 在新创建应用的应用授权页签,按照以下说明为对应用户添加应用访问权限。
- 单击 +添加个人。
- 在下拉列表中,选择对应用户。
- 单击确认。