Azure AD與雲SSO進行單點登入 - CloudSSO

本文為您提供Azure AD（Azure Active Directory）與雲SSO進行單點登入（SSO登入）的樣本。

背景資訊

假設企業在本地IdP Azure AD中有大量使用者，且已在阿里雲資來源目錄（RD）中搭建了多帳號體繫結構。企業希望經過配置，使Azure AD的使用者通過SSO登入的方式直接存取資來源目錄指定成員帳號中的指定資源。

Azure AD中的所有配置操作需要擁有全域管理員許可權的管理使用者執行。關於如何在Azure AD中建立使用者及授權為管理員的操作，請參見Azure AD文檔。

準備工作

配置SSO登入前，您需要完成以下工作：

從Azure AD同步處理的使用者到雲SSO，或者在雲SSO建立同名使用者。
- 從Azure AD同步處理的使用者到雲SSO（推薦）：適用於Azure AD中擁有大量使用者的情況。具體操作，請參見通過SCIM同步Azure AD使用者或使用者組的樣本。
- 在雲SSO建立同名使用者：適用於Azure AD中僅有少量使用者的情況。具體操作，請參見建立使用者。
  說明
  使用者名稱會用於使用者登入。當您進行SSO單點登入時，雲SSO的使用者名稱應該與Azure AD中用於單點登入的欄位保持一致。更多資訊，請參見步驟三：在Azure AD中配置SAML。
在雲SSO建立訪問配置，定義權限原則。
具體操作，請參見建立訪問配置。
為使用者在RD帳號上授權。
具體操作，請參見在RD帳號上授權。

步驟一：在雲SSO擷取服務提供者中繼資料

登入雲SSO控制台。
在左側導覽列，單擊設定。
在SSO登入地區，下載服務提供者（SP）中繼資料文檔。

（可選）步驟二：在Azure AD中建立應用程式

說明

如果您已完成了SCIM同步配置，則請跳過該步，直接使用SCIM同步時使用的應用程式。

管理使用者登入Azure門戶。
在首頁左上方，單擊表徵圖。
在左側導覽列，選擇Azure Active Directory > 公司專屬應用程式程式 > 所有應用程式。
單擊建立應用程式。
在瀏覽Azure AD庫頁面，單擊建立你自己的應用程式。
在建立你自己的應用程式頁面，輸入應用程式名稱（例如：CloudSSODemo），並選擇整合未在庫中找到的任何其他應用程式（非庫），然後單擊建立。

步驟三：在Azure AD中配置SAML

在CloudSSODemo頁面，單擊左側導覽列的單一登入。
在選擇單一登入方法頁面，單擊SAML。
在設定SAML單一登入頁面進行以下配置。
1. 在頁面左上方，單擊上傳中繼資料檔案，然後選擇從步驟一擷取的SP中繼資料文檔，最後單擊添加。
2. 在基本SAML配置頁面，配置以下資訊，然後單擊儲存。
  - 標識符（實體 ID）：必填項，SP中繼資料文檔匯入後，該值會自動讀取。
    說明
    如無法自動讀取，請從雲SSO的SSO登入配置頁面複製Entity ID的取值。
  - 回複 URL（判斷提示取用者服務 URL）：必填項，SP中繼資料文檔匯入後，該值會自動讀取。
    說明
    如無法自動讀取，請從雲SSO的SSO登入配置頁面複製ACS URL的取值。
  - 中繼狀態：可選項，用來配置SSO登入成功後跳轉到的阿里雲頁面。如果不配置，預設跳轉到雲SSO使用者門戶。
    說明
    出於安全原因，您只能輸入*.alibabacloudsso.com網域名稱的URL，否則配置無效。
3. 在使用者屬性和聲明地區，單擊編輯，將唯一使用者識別碼(名稱 ID)的值設定為user.userprincipalname或其他能夠唯一標識使用者的欄位。
  說明
  您可以設定任意能夠唯一標識使用者的欄位作為SAML斷言中NameID的值，常見的有user.userprincipalname或user.mail等。由於雲SSO需要傳入的NameID值要與雲SSO的使用者名稱一致，因此您應該在雲SSO中根據該欄位值建立使用者，以確保SSO登入能夠成功。
  如果您同時配置了SCIM同步，您需要使用同一個欄位（例如：user.userprincipalname）配置SCIM的userName屬性。
4. 在SAML簽署憑證地區，單擊下載，擷取聯合中繼資料XML。

（可選）步驟四：在Azure AD分配使用者

說明

如果您已完成了SCIM同步配置，則請跳過該步。

在Azure AD首頁左上方，單擊表徵圖。
在左側導覽列，選擇Azure Active Directory > 公司專屬應用程式程式 > 所有應用程式。
在名稱列，單擊CloudSSODemo。
在左側導覽列，單擊使用者和組。
單擊左上方的添加使用者/組。
選擇使用者。
單擊分配。

步驟五：在雲SSO啟用SSO登入

在雲SSO的左側導覽列，單擊設定。
在SSO登入地區，單擊配置身份供應商資訊。
在配置身份供應商資訊對話方塊，選擇上傳中繼資料文檔。
單擊上傳檔案，上傳從步驟三擷取的IdP中繼資料文檔。
開啟SSO登入開關，啟用SSO登入。
說明
啟用SSO登入後，使用者名稱和密碼登入將自動禁用，即雲SSO使用者將不能通過使用者名稱和密碼登入。而且，SSO登入是一個全域功能，啟用後，所有使用者都需要SSO登入。

驗證結果

完成SSO登入配置後，您可以從阿里雲或Azure AD發起SSO登入。

從阿里雲發起SSO登入
1. 在雲SSO控制台的概覽頁，複製使用者登入地址。
2. 使用新的瀏覽器開啟複製的使用者登入地址。
3. 單擊跳轉，系統會自動跳轉到Azure AD的登入頁面。
4. 使用Azure AD使用者名稱和密碼登入。
  系統將自動SSO登入並重新導向到您指定的中繼狀態頁面。如果未指定中繼狀態或超出允許範圍，則系統會訪問下圖所示的雲SSO使用者門戶。
5. 在以RAM角色登入頁簽，單擊目標RD帳號許可權列的顯示詳情。
6. 在許可權面板，單擊目標許可權操作列的登入。
7. 訪問RD帳號中有許可權的資源。
從Azure AD發起SSO登入
1. 擷取使用者訪問URL
  1. 管理使用者登入Azure門戶。
  2. 單擊首頁的表徵圖。
  3. 在左側導覽列，選擇Azure Active Directory > 公司專屬應用程式程式 > 所有應用程式。
  4. 單擊應用程式CloudSSODemo。
  5. 在左側導覽列，單擊屬性，擷取使用者訪問URL。
    使用者訪問URL是使用者直接從其瀏覽器訪問此應用程式的連結。
2. 使用者從管理員處擷取上述使用者訪問URL，然後在瀏覽器中輸入該URL，使用自己的使用者名稱和密碼登入。
  系統將自動SSO登入並重新導向到您指定的中繼狀態頁面。如果未指定中繼狀態或超出允許範圍，則系統會訪問雲SSO使用者門戶。
3. 在以RAM角色登入頁簽，單擊目標RD帳號許可權列的顯示詳情。
4. 在許可權面板，單擊目標許可權操作列的登入。
5. 訪問RD帳號中有許可權的資源。

CloudSSO：Azure AD與雲SSO進行單點登入的樣本