全部產品
Search
文件中心

CloudSSO:Okta與雲SSO進行單點登入的樣本

更新時間:Jul 13, 2024

本文為您提供Okta與雲SSO進行單點登入(SSO登入)的樣本。

背景資訊

假設企業在本地IdP Okta中有大量使用者,且已在阿里雲資來源目錄(RD)中搭建了多帳號體繫結構。企業希望經過配置,使Okta的使用者通過SSO登入的方式直接存取資來源目錄指定成員帳號中的指定資源。

步驟一:在雲SSO擷取服務提供者(SP)中繼資料

  1. 登入雲SSO控制台

  2. 在左側導覽列,單擊設定

  3. SSO登入地區,複製服務提供者(SP)的ACS URLEntity ID

步驟二:在Okta建立應用程式

  1. 登入Okta門戶

  2. 單擊頁面右上方的帳號表徵圖,然後單擊Your Org

  3. 在左側導覽列,選擇Applications > Applications

  4. Applications頁面,單擊Browse App Catalog

  5. 搜尋並找到名為Alibaba Cloud CloudSSO的應用程式。

  6. 開啟應用程式介紹頁面後,單擊Add integration,添加應用程式。

  7. 配置應用程式資訊。

    1. General Settings頁面,輸入應用程式名稱CloudSSODemo,然後單擊Done

    2. Sign on頁面的settings地區,單擊Edit

    3. 單擊Save

步驟三:在Okta擷取身份供應商(IdP)中繼資料

  1. 在應用程式CloudSSODemo詳情頁,單擊Sign On頁簽。

  2. SAML Signing Certificates地區,滑鼠右鍵單擊Actions下拉式清單,選擇View IdP metadata,將IdP中繼資料另存到本地。

步驟四:在Okta為應用程式分配使用者

說明

如果Okta中沒有使用者,您需要先建立使用者。具體操作,請參見建立Okta使用者

  1. 在應用程式CloudSSODemo詳情頁,單擊Assignments頁簽。

  2. 單擊Assign,選擇分配方式。

    • Assign to People:分配使用者。本文以該方式為例。

    • Assign to Groups:分配使用者組。

  3. Assign CloudSSODemo to People對話方塊,單擊目標使用者右側的Assign

  4. 檢查或修改User Name,然後單擊Save and Go Back

  5. 重複步驟3~步驟4,依次分配其他使用者到應用程式。

  6. 單擊Done

步驟五:在雲SSO啟用SSO登入

  1. 在雲SSO的左側導覽列,單擊設定

  2. SSO登入地區,單擊配置身份供應商資訊

  3. 配置身份供應商資訊對話方塊,選擇上傳中繼資料文檔

  4. 單擊上傳檔案,上傳從步驟三:在Okta擷取身份供應商(IdP)中繼資料擷取的IdP中繼資料檔案。

  5. 開啟SSO登入開關,啟用SSO登入。

    說明

    啟用SSO登入後,使用者名稱和密碼登入將自動禁用,即雲SSO使用者將不能通過使用者名稱和密碼登入。而且,SSO登入是一個全域功能,啟用後,所有使用者都需要SSO登入。

步驟六:同步處理的使用者或建立使用者

從Okta同步處理的使用者到雲SSO,或者在雲SSO建立同名使用者。具體如下:

  • 從Okta同步處理的使用者到雲SSO(推薦):適用於Okta中擁有大量使用者的情況。具體操作,請參見通過SCIM同步Okta使用者或使用者組的樣本

  • 在雲SSO建立同名使用者:適用於Okta中僅有少量使用者的情況。具體操作,請參見建立使用者

    說明

    使用者名稱會用於使用者登入。當您進行SSO登入時,雲SSO的使用者名稱應該與Okta中用於SSO登入的欄位保持一致。更多資訊,請參見步驟二:在Okta建立應用程式

(可選)步驟七:為使用者授權

如果您計劃使用者SSO登入後訪問資來源目錄指定成員帳號中的指定資源,您還需要建立訪問配置,並為使用者在RD帳號上授權。

  1. 在雲SSO建立訪問配置,定義權限原則。

    具體操作,請參見建立訪問配置

  2. 為使用者在RD帳號上授權。

    具體操作,請參見在RD帳號上授權

驗證結果

完成上述配置後,您可以從阿里雲或Okta發起SSO登入。

  • 從阿里雲發起SSO登入

    1. 雲SSO控制台概覽頁,複製使用者登入地址。

    2. 使用新的瀏覽器開啟複製的使用者登入地址。

    3. 單擊跳轉,系統會自動跳轉到Okta的登入頁面。雲SSO登入跳轉

    4. 使用Okta使用者名稱和密碼登入。

      系統將自動SSO登入並重新導向到您指定的Default RelayState頁面。本樣本中未指定Default RelayState,系統會訪問雲SSO使用者門戶。

  • 從Okta發起SSO登入

    1. 使用Okta使用者登入Okta門戶

    2. 單擊CloudSSODemo應用。

      系統將自動SSO登入並重新導向到您指定的Default RelayState頁面。本樣本中未指定Default RelayState,系統會訪問雲SSO使用者門戶。

相關文檔