雲SSO支援基於SAML 2.0的單點登入(SSO登入)。阿里雲是服務提供者(SP),而企業自有的身份管理系統則是身份供應商(IdP)。通過SSO登入,企業員工可以使用IdP中的使用者身份直接登入雲SSO。雲SSO可以一次性配置企業身份管理系統與阿里雲的SSO登入,配置方式非常簡單。
使用流程
在雲SSO中擷取服務提供者(SP)中繼資料。
您可以在雲SSO下載和查看SP中繼資料。具體操作,請參見擷取服務提供者(SP)中繼資料。
在企業IdP中配置阿里雲為可信SAML SP並配置SAML斷言屬性。
部分IdP配置完成後,還需要將使用者指派到應用。不同企業IdP的配置方法不同。具體操作,請參見各企業IdP的協助文檔。
在企業IdP中擷取身份供應商(IdP)的SAML中繼資料。
您可以在企業IdP下載SAML中繼資料文檔,不同企業IdP的擷取方法不同。具體操作,請參見各企業IdP的協助文檔。
在雲SSO中配置企業IdP為可信SAML IdP。
您需要手動設定企業IdP的SAML資訊或直接上傳企業IdP的SAML中繼資料檔案。其中手動設定僅能配置單點登入所必須的屬性:Entity ID、登入地址和簽署憑證。如果您需要配置更多IdP資訊,請在IdP端產生中繼資料檔案並使用上傳中繼資料的方式進行配置。
在雲SSO中啟用單點登入。
具體操作,請參見啟用單點登入。
通過SCIM同步處理的使用者或在雲SSO中建立IdP的同名使用者。
如果IdP中有大量使用者,且IdP支援SCIM協議,您可以直接將IdP中的使用者同步到雲SSO。SCIM同步樣本,請參見通過SCIM同步Azure AD使用者或使用者組的樣本和通過SCIM同步Okta使用者或使用者組的樣本。
如果IdP中使用者較少,您可以直接在雲SSO建立IdP的同名使用者,即將SAML斷言屬性中的
NameID
值設定為雲SSO使用者的使用者名稱。具體操作,請參見建立使用者。
使用企業IdP的使用者單點登入到阿里雲。