全部產品
Search

搜尋本產品

    CloudSSO:管理單點登入

    文件中心

    CloudSSO:管理單點登入

    更新時間:Jul 13, 2024

    雲SSO支援基於SAML 2.0的單點登入(SSO登入)。阿里雲是服務提供者(SP),而企業自有的身份管理系統則是身份供應商(IdP)。通過SSO登入,企業員工可以使用IdP中的使用者身份直接登入雲SSO。本文為您介紹雲SSO側的相關單點登入配置。

    管理身份供應商(IdP)資訊

    您需要配置身份供應商(IdP)資訊,然後開啟單點登入開關,才能正常使用單點登入功能。支援手動設定和上傳中繼資料檔案兩種方式配置身份供應商資訊。其中手動設定僅能配置單點登入所必須的屬性:Entity ID、登入地址和SAML簽署憑證。如果您需要配置更多IdP資訊,請在IdP端產生中繼資料檔案並使用上傳中繼資料的方式進行配置。

    配置身份供應商(IdP)資訊

    您需要先配置身份供應商資訊,然後才能啟用單點登入。

    1. 登入雲SSO控制台

    2. 在左側導覽列,單擊設定

    3. SSO登入身份供應商(IdP)資訊地區,單擊配置身份供應商資訊

    4. 配置身份供應商資訊對話方塊,選擇上傳中繼資料文檔手動設定,然後配置身份供應商資訊。

      以下兩種方式您可以任選其一進行配置,相關中繼資料檔案或配置資訊請從身份供應商處擷取。

      • 上傳中繼資料文檔

        單擊上傳檔案,上傳身份供應商中繼資料檔案。

      • 手動設定

        • Entity ID:身份供應商標識。

        • 登入地址:身份供應商登入地址。

        • 認證:身份供應商用於SAML響應簽名的認證,支援PEM格式的X509認證。您可以單擊上傳認證,上傳身份供應商的認證。

    5. 單擊確定

    更新身份供應商(IdP)資訊

    當單點登入處於開啟或禁用狀態時,您都可以更新身份供應商資訊。但在開啟狀態下更新時,如果新配置的身份供應商資訊與原有的資訊不匹配,可能會導致使用者單點登入失敗,請謹慎操作。

    1. SSO登入身份供應商(IdP)資訊地區,單擊配置身份供應商資訊

    2. 配置身份供應商資訊對話方塊,選擇配置方式,然後修改配置資訊、重新上傳認證或中繼資料檔案等,最後單擊確定

    清空身份供應商(IdP)資訊

    當單點登入處于禁用狀態時,您可以清空身份供應商資訊。單點登入處於開啟狀態時,不能執行該操作。

    警告

    清空身份供應商資訊後,您將無法進行單點登入。

    1. SSO登入身份供應商(IdP)資訊地區,單擊清空身份供應商資訊

    2. 清空身份供應商資訊對話方塊,單擊確定

    輪轉SAML簽署憑證

    身份供應商(IdP)SAML簽署憑證建議定期輪換,您可以在IdP舊認證到期之前,提前上傳新認證。當使用者進行單點登入時,雲SSO會分別使用新舊兩個認證驗證SAML簽名,只要有一個驗證通過,此次登入就是可信的。認證輪轉一段時間,觀察並確認新認證生效,舊認證不再使用之後,您可以刪除舊認證。

    警告

    刪除正在使用的SAML簽署憑證,會導致單點登入失敗,請謹慎操作。

    1. SSO登入身份供應商(IdP)資訊地區,單擊SAML簽署憑證右側的管理

    2. 認證對話方塊,輪轉SAML簽署憑證。

      1. 單擊上傳新的認證,上傳從企業IdP擷取的新認證。

      2. 確認企業IdP開始使用新認證對SAML響應進行簽名,之後嘗試單點登入到雲SSO使用者門戶,確保可以正常登入。

      3. 認證輪轉一段時間,觀察並確認新認證生效,舊認證不再使用之後,您可以單擊舊認證操作列的刪除,刪除舊認證。

      4. 單擊確定,完成SAML簽署憑證輪轉。

    管理服務提供者(SP)資訊

    擷取服務提供者(SP)中繼資料

    您在外部IdP中配置單點登入時需要使用SP中繼資料文檔,您可以在SSO登入服務提供者(SP)資訊地區,單擊下載SP中繼資料文檔,下載SP中繼資料文檔。同時,您也可以查看或複製ACS URLEntity ID,直接用於外部IdP的手動設定。

    說明

    如您啟用了加速網域名稱功能,在外部IdP中配置單點登入時可以使用ACS URL(加速)。更多資訊,請參見雲SSO海外訪問加速

    管理服務提供者(SP)可信CA簽發認證

    雲SSO提供雲SSO自我簽署憑證和可信CA簽發認證兩種。預設使用雲SSO自我簽署憑證,如果企業對SP簽署憑證有可信CA簽發要求的,可以申請可信CA簽發認證。

    重要

    可信CA簽發認證目前處於邀測階段,請先聯絡阿里雲的服務經理,申請體驗資格後才能進行試用。

    可信CA簽發認證支援的演算法

    SP中繼資料中包含有兩個認證,分別是簽署憑證和斷言加密認證。其支援的演算法如下:

    可信CA簽發認證有效期間

    可信CA簽發認證有效期間為1年,即每年需要輪轉一次。具體的到期時間,請以控制台介面顯示為準。

    啟用可信CA簽發認證

    SSO登入服務提供者(SP)資訊地區,開啟中繼資料使用可信CA簽發認證開關,即可啟用可信CA簽發認證。

    啟用可信CA簽發認證後,會自動禁用雲SSO自我簽署憑證。

    輪轉可信CA簽發認證

    在認證到期前的80天進入輪轉期,雲SSO控制台將提示您更換認證,直至認證失效。在輪轉期內,新舊認證都有效,建議您在輪轉期內儘早更新認證。

    1. SSO登入服務提供者(SP)資訊地區,下載使用最新可信CA簽發認證的SP中繼資料文檔。

    2. 在企業IdP中,同時配置新舊兩個認證。

    3. 在企業IdP中,嘗試只使用新認證,驗證企業IdP與雲SSO的單點登入是否正常。

      如果正常,您就可以嘗試刪除舊認證。當然,您也可以保留舊認證,不影響單點登入。

    啟用或禁用單點登入

    啟用單點登入

    當您完成身份供應商資訊配置後,就可以啟用單點登入。

    說明

    啟用單點登入後,將自動禁用使用者名稱和密碼登入。

    1. SSO登入地區,開啟單點登入開關。

    2. 啟用SSO登入對話方塊,單擊確定

    禁用單點登入

    說明

    禁用單點登入後,將自動啟用使用者名稱和密碼登入。

    1. SSO登入地區,關閉單點登入開關。

    2. 禁用SSO登入對話方塊,單擊確定