本文為您提供Azure AD(Azure Active Directory)與雲SSO進行單點登入(SSO登入)的樣本。
背景資訊
假設企業在本地IdP Azure AD中有大量使用者,且已在阿里雲資來源目錄(RD)中搭建了多帳號體繫結構。企業希望經過配置,使Azure AD的使用者通過SSO登入的方式直接存取資來源目錄指定成員帳號中的指定資源。
Azure AD中的所有配置操作需要擁有全域管理員許可權的管理使用者執行。關於如何在Azure AD中建立使用者及授權為管理員的操作,請參見Azure AD文檔。
準備工作
配置SSO登入前,您需要完成以下工作:
從Azure AD同步處理的使用者到雲SSO,或者在雲SSO建立同名使用者。
從Azure AD同步處理的使用者到雲SSO(推薦):適用於Azure AD中擁有大量使用者的情況。具體操作,請參見通過SCIM同步Azure AD使用者或使用者組的樣本。
在雲SSO建立同名使用者:適用於Azure AD中僅有少量使用者的情況。具體操作,請參見建立使用者。
說明使用者名稱會用於使用者登入。當您進行SSO單點登入時,雲SSO的使用者名稱應該與Azure AD中用於單點登入的欄位保持一致。更多資訊,請參見步驟三:在Azure AD中配置SAML。
在雲SSO建立訪問配置,定義權限原則。
具體操作,請參見建立訪問配置。
為使用者在RD帳號上授權。
具體操作,請參見在RD帳號上授權。
步驟一:在雲SSO擷取服務提供者中繼資料
登入雲SSO控制台。
在左側導覽列,單擊設定。
在SSO登入地區,下載服務提供者(SP)中繼資料文檔。
(可選)步驟二:在Azure AD中建立應用程式
如果您已完成了SCIM同步配置,則請跳過該步,直接使用SCIM同步時使用的應用程式。
管理使用者登入Azure門戶。
在首頁左上方,單擊表徵圖。
在左側導覽列,選擇 。
單擊建立應用程式。
在瀏覽Azure AD庫頁面,單擊建立你自己的應用程式。
在建立你自己的應用程式頁面,輸入應用程式名稱(例如:CloudSSODemo),並選擇整合未在庫中找到的任何其他應用程式(非庫),然後單擊建立。
步驟三:在Azure AD中配置SAML
在CloudSSODemo頁面,單擊左側導覽列的單一登入。
在選擇單一登入方法頁面,單擊SAML。
在設定SAML單一登入頁面進行以下配置。
在頁面左上方,單擊上傳中繼資料檔案,然後選擇從步驟一擷取的SP中繼資料文檔,最後單擊添加。
在基本SAML配置頁面,配置以下資訊,然後單擊儲存。
標識符(實體 ID):必填項,SP中繼資料文檔匯入後,該值會自動讀取。
說明如無法自動讀取,請從雲SSO的SSO登入配置頁面複製Entity ID的取值。
回複 URL(判斷提示取用者服務 URL):必填項,SP中繼資料文檔匯入後,該值會自動讀取。
說明如無法自動讀取,請從雲SSO的SSO登入配置頁面複製ACS URL的取值。
中繼狀態:可選項,用來配置SSO登入成功後跳轉到的阿里雲頁面。如果不配置,預設跳轉到雲SSO使用者門戶。
說明出於安全原因,您只能輸入*.alibabacloudsso.com網域名稱的URL,否則配置無效。
在使用者屬性和聲明地區,單擊編輯,將唯一使用者識別碼(名稱 ID)的值設定為user.userprincipalname或其他能夠唯一標識使用者的欄位。
說明您可以設定任意能夠唯一標識使用者的欄位作為SAML斷言中
NameID
的值,常見的有user.userprincipalname或user.mail等。由於雲SSO需要傳入的NameID
值要與雲SSO的使用者名稱一致,因此您應該在雲SSO中根據該欄位值建立使用者,以確保SSO登入能夠成功。如果您同時配置了SCIM同步,您需要使用同一個欄位(例如:user.userprincipalname)配置SCIM的userName屬性。
在SAML簽署憑證地區,單擊下載,擷取聯合中繼資料XML。
(可選)步驟四:在Azure AD分配使用者
如果您已完成了SCIM同步配置,則請跳過該步。
在Azure AD首頁左上方,單擊表徵圖。
在左側導覽列,選擇 。
在名稱列,單擊CloudSSODemo。
在左側導覽列,單擊使用者和組。
單擊左上方的添加使用者/組。
選擇使用者。
單擊分配。
步驟五:在雲SSO啟用SSO登入
在雲SSO的左側導覽列,單擊設定。
在SSO登入地區,單擊配置身份供應商資訊。
在配置身份供應商資訊對話方塊,選擇上傳中繼資料文檔。
單擊上傳檔案,上傳從步驟三擷取的IdP中繼資料文檔。
開啟SSO登入開關,啟用SSO登入。
說明啟用SSO登入後,使用者名稱和密碼登入將自動禁用,即雲SSO使用者將不能通過使用者名稱和密碼登入。而且,SSO登入是一個全域功能,啟用後,所有使用者都需要SSO登入。
驗證結果
完成SSO登入配置後,您可以從阿里雲或Azure AD發起SSO登入。
從阿里雲發起SSO登入
在雲SSO控制台的概覽頁,複製使用者登入地址。
使用新的瀏覽器開啟複製的使用者登入地址。
單擊跳轉,系統會自動跳轉到Azure AD的登入頁面。
使用Azure AD使用者名稱和密碼登入。
系統將自動SSO登入並重新導向到您指定的中繼狀態頁面。如果未指定中繼狀態或超出允許範圍,則系統會訪問下圖所示的雲SSO使用者門戶。
在以RAM角色登入頁簽,單擊目標RD帳號許可權列的顯示詳情。
在許可權面板,單擊目標許可權操作列的登入。
訪問RD帳號中有許可權的資源。
從Azure AD發起SSO登入
擷取使用者訪問URL
管理使用者登入Azure門戶。
單擊首頁的表徵圖。
在左側導覽列,選擇
。單擊應用程式CloudSSODemo。
在左側導覽列,單擊屬性,擷取使用者訪問URL。
使用者訪問URL是使用者直接從其瀏覽器訪問此應用程式的連結。
使用者從管理員處擷取上述使用者訪問URL,然後在瀏覽器中輸入該URL,使用自己的使用者名稱和密碼登入。
系統將自動SSO登入並重新導向到您指定的中繼狀態頁面。如果未指定中繼狀態或超出允許範圍,則系統會訪問雲SSO使用者門戶。
在以RAM角色登入頁簽,單擊目標RD帳號許可權列的顯示詳情。
在許可權面板,單擊目標許可權操作列的登入。
訪問RD帳號中有許可權的資源。