單點登入流程需要IDaaS與應用之間進行互動,所以需要在兩端進行配置。
當前文檔以SAML 2.0標準協議為例進行配置說明。
若您希望瞭解IDaaS中支援的SSO協議,請前往:2.標準協議。
IDaaS 側配置
捷徑:上傳應用設定檔
部分應用在SSO配置頁面,能夠將配置資訊metadata一鍵下載,並在IDaaS中上傳;或提供公開介面,允許IDaaS將配置資訊拉取過來。
IDaaS即可擷取到配置SSO的所有資訊,預填充進表單。無需管理員手動設定,確認儲存即可完成。
IDaaS 側配置欄位說明
| 欄位 | 說明 | 舉例 |
基本配置(必填) | 單點登入地址 ACS URL | 應用的SAML SSO核心地址,與IDaaS互動處理單點登入請求。 | https://signin.example.com/1021*****4813/saml/SSO |
應用唯一標識 SP Entity ID | 應用在IDaaS中的標識,通常在應用側擷取,格式通常為應用URI。若應用側沒有要求,直接複用單點登入地址即可。 | https://signin.example.com/1021*****4813/saml/SSO | |
應用賬戶 | SAML協議中將應用賬戶稱為NameID。請參考:SAML應用賬戶配置。 | 選擇:使用IDaaS賬戶名(Username) | |
授權範圍 | 請參考:單點登入通用說明。 | 選擇:全員可訪問 | |
進階配置(選填) | 預設跳轉地址 Default RelayState | IDP發起SSO登入成功後,應用自動跳轉的地址。在SAML Response中會在 | |
NameID格式NameIDFormat | SAML Response中指定賬戶標識 | 選擇:1.1 Unspecified | |
Binding格式 Binding |
| 選擇: | |
是否對斷言簽名 Sign Assertion | IDaaS會為所有SAML 請求籤名,暫不支援修改。 | - | |
簽名演算法 Signing Algorithm | 簽名使用的非對稱演算法,當前僅支援RSA-SHA256演算法,一般無需修改。 | 選擇:RSA-SHA256 | |
斷言屬性 Attribute Statements | 在 SAML Response中,可以將額外使用者欄位(例如郵箱、顯示名稱等)返回給應用解析。參考SAML Attribute Statements值填寫規範。 | - | |
SSO發起方 | 使用者訪問由應用發起,還是支援門戶發起。 | 只允許應用發起 | |
登入發起地址 | 若SSO發起方設定為支援門戶和應用發起,可填寫登入發起地址。門戶頁訪問應用時,IDaaS會跳轉到本地址,應即刻自動向IDaaS發起 SAMLRequest登入請求。 | - |
應用側配置
捷徑:上傳IDaaS設定檔
為了便於應用側配置,IDaaS支援將配置資訊一鍵下載。
部分應用配置SSO時,支援metadata資訊上傳。可將IDaaS設定檔上傳,或將metadata地址填寫至應用側。無需手動設定,即可完成對接。
應用側配置欄位說明
應用側需要配置IDaaS的資訊,完成對接。
IDaaS會在單點登入配置頁中,集中展示所有應用側可能需要使用的資訊,方便配置。具體欄位說明如下:
欄位名稱 | 說明 | 樣本 |
IDP唯一標識 IDP Entity ID | IDaaS在應用中的標識。可能需要將值填寫在應用側SSO配置中。 | https://xxxxx.aliyunidaas.com |
IDP SSO地址 IDP-init SSO URL | SAML協議支援SP發起單點登入,可能需要填寫此地址在應用配置中。 | https://xxxxx.aliyunidaas.com.cn/saml/idp/saml1 |
單點退出地址 SLO URL | SAML協議支援單點登出。若希望實現此功能,需要填寫此地址在應用配置中。 | - |
密鑰憑證 Certificate | IDaaS發送的單點登入結果,會自動攜帶一個電子簽名。應用可以使用這裡的公開金鑰,對結果驗簽,確認結果是IDaaS發出,確保安全。 | -----BEGIN CERTIFICATE----- MIIDEjCCAfqgAwIBAgIHAYnNmX60izANBgkqhkiG9w0BAQsFADApMRowGAYDVQQD..... |