You need to enable JavaScript to run this app.
导航
飞连
  • 文档首页
    • /
  • 飞连

为阿里云应用配置 SSO (SAML协议)

最近更新时间2024.03.13 11:33:50

首次发布时间2024.03.13 11:33:50

我的收藏

本文介绍如何在飞连管理后台使用 SAML 协议为阿里云应用启用单点登录 (SSO),实现用户通过飞连直接访问阿里云应用,无需输入账号和密码。

使用说明

阿里云应用支持两种单点登录管理方式:角色 SSO 和用户 SSO。本文将结合角色 SSO 和用户 SSO 依次介绍如何在飞连管理后台实现飞连与阿里云应用的互联。

配置角色 SSO

完成以下步骤,实现飞连用户通过角色 SSO 直接访问阿里云应用:

阿里云 RAM 控制台操作步骤

  1. 使用您的企业账户登录 RAM 控制台
    图片
  2. 在左侧导航栏,单击集成管理SSO 管理
  3. SSO 管理页面,单击角色 SSOSAML 页签。
  4. SAML 页签,单击创建身份提供商
    图片
  5. 创建身份提供商页面,填写以下信息并单击确定
    图片
    1. 身份提供商名称:填写您的身份提供商名称。
      本文使用 Feilian 作为新建身份提供商的示例名称。
    2. 备注:根据实际情况填写备注信息。
    3. 元数据文档:单击上传文件,上传身份提供商的元数据文件。
  6. SSO 管理页面,根据页面提示,使用阿里云 SAML 服务提供商元数据 URL 下载服务提供商的元数据文件。
    将该元数据文件保存为 XML 格式并存储到本地。
    图片
  7. 在左侧导航栏,单击身份管理角色
  8. 角色页面,单击创建角色
    图片
  9. 创建角色页面,完成以下步骤:
    1. 选择可信实体类型配置项,勾选身份提供商并单击下一步
      图片
    2. 填写角色名称备注并选择您在步骤 5 中新创建的身份提供商。

      说明

      本文使用 FeilianIdP 作为新创建角色的示例名称。

      图片
    3. 单击完成
  10. 角色页面,单击新创建的角色名称,进入角色详情页。
  11. 在角色详情页的基本信息区域,找到角色资源描述符(ARN)并单击复制
    将角色 ARN 值保存到本地,以便后续使用。
    图片
  12. 在左侧导航栏,单击集成管理SSO 管理
  13. SSO 管理页面,单击Feilian(步骤 5 中新创建的身份提供商示例名称)。
  14. 在身份提供商详情页,找到身份提供商资源描述符 ARN 并将ARN值保存到本地。
    图片

飞连管理后台操作步骤

  1. 登录飞连管理后台。
  2. 在左侧导航栏,单击应用列表
  3. 应用列表页面,单击应用市场
    图片
  4. 添加新应用页面的筛选条件区域,设置筛选条件搜索阿里云角色 SSO 应用模板卡片。
    图片
  5. 搜索结果区域,单击该应用模版卡片,并在所选模板卡片的右下角,单击添加
    图片
  6. 填写应用信息页面,配置应用信息并单击确定
    单击确定后,页面将自动跳转到新建应用的应用授权页签。
    图片
    配置项说明如下:
    1. 基本信息区域,填写应用名称应用访问地址应用描述
    2. 应用功能区域,完成以下配置:
      1. 单点登录区域的 IDP Metadata 配置项,查看和下载飞连的元数据文件。
      2. 单点登录区域的阿里云 Metadata 文件配置项,上传此前保存的阿里云 SAML 服务提供商元数据文件。
        请确保该元数据文件具备阿里云要求的必要元素,否则将影响 SSO 认证登录。
        元数据文件示例如下:
        aliyun_metadata.xml
        未知大小
      3. (可选)在应用网关区域,勾选应用网关功能,并且填写应用网关配置项。
        应用网关的配置项说明,请参见添加应用
  7. 在左侧导航栏,单击角色管理
  8. 角色管理页面的角色列表下方,单击自定义新建,创建一个新角色。
    图片
  9. 添加角色页面,根据实际情况配置以下角色参数并单击确定
    1. 角色名称:使用以下格式填写角色名称:角色的ARN + ',' + 身份提供商的ARN。例如, acs:ram::5200700546780089:role/feilianidp,acs:ram::5200700546780089:saml-provider/Feilian
    2. 角色描述:填写角色描述,用于理解该角色的职能。
    3. 角色类型:可选静态角色和动态角色。
      本文以配置静态角色为例。关于角色参数的更多说明,请参见角色管理
    4. 静态角色范围: 将静态角色分配给指定成员或部门。
  10. 在左侧导航栏,单击应用列表
  11. 应用列表页面,找到您之前新建的阿里云角色 SSO 应用,单击应用名称进入详情页。
  12. 应用授权页签的角色权限区域,单击+添加角色
  13. 在下拉列表中选择您此前新创建的角色,并单击确认
    图片
  14. 在该应用的单点登录页签,按照以下说明将 SAML 用户属性映射到飞连。
  15. 映射关系区域,单击编辑
    图片
  16. 编辑映射关系对话框,完成以下步骤并单击确定
    1. 单击添加映射
      当您单击添加映射后,页面将自动新增一组对应字段。
      图片
      在新增对应字段的下拉列表中,您可以选择相应的字段或者单击添加扩展字段创建自定义字段。
      图片
    2. 重复上述步骤可添加多个映射关系。
      本文列出了一些 SAML 元素供您参考。有关 SAML 元素的更多信息,请参见角色SSO的SAML响应

元素名称

说明

RoleSessionName

该元素是必需元素,仅包含一个 AttributeValue 元素。 AttributeValue 的长度必须为 2-64 个字符,并且只能包含字母、数字和以下特殊符号:

  • -
  • _
  • .
  • @
  • =

以下是一个 RoleSessionName 元素的示例:

<Attribute Name="https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName">
  <AttributeValue>user_id</AttributeValue>
</Attribute>

Role

该元素是必需元素,包含一个或多个 AttributeValue 元素。 AttributeValue 元素的取值代表身份提供商允许当前用户扮演的角色。 AttributeValue 取值的格式是由角色 ARN 和身份提供商 ARN 组合而成,中间用半角逗号隔开。您可以在 RAM 控制台中获取角色 ARN 和身份提供商 ARN。

  • 角色 ARN:在角色页面,单击 RAM 角色名称,然后在基本信息区域查看对应的 ARN。
  • 身份提供商 ARN:在 SSO 管理页面的单点登录页签下,单击 SAML 页签和身份提供商名称,然后在身份提供商信息区域查看对应的 ARN。

以下是一个 Role 元素的示例:

<Attribute Name="https://www.aliyun.com/SAML-Role/Attributes/Role">
  <AttributeValue>acs:ram::$account_id:role/role1,acs:ram::$account_id:saml-provider/provider1</AttributeValue>
  <AttributeValue>acs:ram::$account_id:role/role2,acs:ram::$account_id:saml-provider/provider1</AttributeValue>
</Attribute>

配置用户 SSO

完成以下步骤,实现飞连用户通过用户 SSO 直接访问阿里云应用:

阿里云 RAM 控制台操作步骤

  1. 使用您的企业账户登录 RAM 控制台
    图片
  2. 在左侧导航栏,单击集成管理SSO 管理
  3. SSO 管理页面,单击用户 SSO 页签。
  4. 用户 SSO 页签,完成以下步骤:
    1. 根据页面提示,使用 SAML 服务提供商元数据 URL 下载服务提供商的元数据文件。
      将该元数据文件保存为 XML 格式并存储到本地。
      图片
    2. SSO 登录设置区域右侧,单击编辑按钮。
      图片
    3. 编辑 SSO 登录设置页面,完成以下步骤并单击确定
      图片
      1. SSO 功能状态设置为开启并上传从飞连管理后台获得的飞连元数据文件。
        飞连元数据文件的 URL 示例如下:https://{domain_name}/api/idp/metadata
      2. 根据实际情况启用辅助域名功能并输入您的辅助域名。
  5. 在左侧导航栏,单击身份管理设置
  6. 设置页面,按照以下说明完成单点登录的高级设置。
    1. 设置页面,单击高级设置页签。
    2. 高级设置页签,编辑默认域名。
    3. 高级设置页签,根据实际情况创建域别名并完成域名归属验证。
      图片
  7. 在左侧导航栏,单击身份管理用户
  8. 用户页面,按照以下说明为飞连用户创建一个 RAM 用户。
    1. 单击创建用户
      图片
    2. 创建用户页面,根据页面提示配置用户的登录名称显示名称,并单击确定

      说明

      该用户的登录名称需要与其登录电子邮箱中使用的用户名保持一致。

      图片

飞连管理后台操作步骤

  1. 登录飞连管理后台。
  2. 在左侧导航栏,单击应用列表
  3. 应用列表页面,单击应用市场
    图片
  4. 添加新应用页面的筛选条件区域,设置筛选条件搜索阿里云用户 SSO 应用模板卡片。
    图片
  5. 搜索结果区域,单击该应用模版卡片,并在所选模板卡片的右下角,单击添加
    图片
  6. 填写应用信息页面,配置应用信息并单击确定
    当您完成该步骤后,页面将自动跳转到新创建应用的应用授权页签。
    图片
    配置项说明如下:
    1. 基本信息区域,填写应用名称应用访问地址应用描述
    2. 应用功能区域,完成以下配置:

      1. 单点登录区域的 IDP Metadata 配置项,查看和下载飞连的元数据文件。

      2. 单点登录区域的阿里云 Metadata 文件配置项,上传此前保存的阿里云 SAML 服务提供商元数据文件。
        请确保元数据文件具备阿里云要求的必要元素,否则将影响 SSO 认证登录。
        元数据文件示例如下:

        <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="0001-01-01T00:00:00Z" entityID="https://signin-intl.aliyun.com/5343775776290963/saml/SSO" ID="https___signin-intl.aliyun.com_5343775776290963_saml_SSO">
    <SPSSODescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" WantAssertionsSigned="true">
        <KeyDescriptor use="signing">
            <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
                <X509Data>
                    <X509Certificate>MIIDLjCCAhagAwIBAgIEW3Fa4DANBgkqhkiG9w0BAQsFADBZMQswCQYDVQQGEwJDTjERMA8GA1UE&#xA;BxMISGFuZ3pob3UxFDASBgNVBAoTC0FsaWJhYmEgSW5jMQ8wDQYDVQQLEwZBcHNhcmExEDAOBgNV&#xA;BAMTB0FsaWJhYmEwHhcNMTgwODEzMTAxODA4WhcNMjgwODEwMTAxODA4WjBZMQswCQYDVQQGEwJD&#xA;TjERMA8GA1UEBxMISGFuZ3pob3UxFDASBgNVBAoTC0FsaWJhYmEgSW5jMQ8wDQYDVQQLEwZBcHNh&#xA;cmExEDAOBgNVBAMTB0FsaWJhYmEwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCJhxKi&#xA;ZvtUMTZkMTcxZhFsbPkgEyDSpDLbQkgJuoxjCdDzH4Sm7To+NfW7VKfrVv+2KB5qCLLX0BtisFvo&#xA;qn6jEUPjaLOhkAcdRIjB8WtJe6PM/Ff2tMDbGpGxqY/VpOkyKF24lR3naRyIofz2+1BCFTqM21hu&#xA;q40QXUyTinyJxpC40bsegWOsmPHrAgWS0Rtl9Trr5TEKcotjSU+6XhOX+zizwVKG7yPWNeO0mXgR&#xA;ZDwfvSocuGhlJv6mpccQnQDd8GrDDkMtqPhoynF2le+at+Ex6eWiUhMrILYV+SuxTLvIF0Gk6tZ7&#xA;KlkjeSbTlV4/QursMjBh6Wv+vlCBk0qvAgMBAAEwDQYJKoZIhvcNAQELBQADggEBACDjIbiiT3ZB&#xA;yirDWxnJBJ+Oh+EGQU6gBlLDAhyaDQQrC2eCVs6qWXxeMTN/Ml/WoXl6FM0AzjGaWjlvAySSqoHP&#xA;NFoRVROI2QuE2kF/8LHfc0O8DoETT7iNSpXGRZz7p1IC1kqCE+XfosTUWMYUc6wqjD1uAUjMt4tV&#xA;C6RRolHxN54bJcBxK48m7jVH0SS30Wih0puBN/LCCgkOLsbl5W6HbvIXgCM8qs+HKCvb0CXu5AoT&#xA;LLiDzaLU0PwWSKBm42evOfkfoyK6ZaCh/31kZdeSnc8R0vupkJzHimhyBE6SUQt/BYTCLHBAjnaL&#xA;SP/MoAfUNsBm9hefivC3lZ8Cu6M=</X509Certificate>
                </X509Data>
            </KeyInfo>
        </KeyDescriptor>
        <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
        <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
        <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat>
        <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</NameIDFormat>
        <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://signin-intl.aliyun.com/saml/SSO" index="0" isDefault="true"></AssertionConsumerService>
    </SPSSODescriptor>
</EntityDescriptor>

      3. (可选)在应用网关区域,勾选应用网关功能,并且填写应用网关配置项。
        应用网关的配置项说明,请参见添加应用

  7. 在新创建应用的应用授权页签,按照以下说明为对应用户添加应用访问权限。
    1. 单击 +添加个人
    2. 在下拉列表中,选择对应用户。
    3. 单击确认。
      图片