全部產品
Search
文件中心

Identity as a Service:SAML 2.0 SSO配置

更新時間:Sep 19, 2024

單點登入流程需要IDaaS與應用之間進行互動,所以需要在兩端進行配置。​

當前文檔以SAML 2.0標準協議為例進行配置說明。

說明

若您希望瞭解IDaaS中支援的SSO協議,請前往:2.標準協議

IDaaS 側配置

捷徑:上傳應用設定檔

部分應用在SSO配置頁面,能夠將配置資訊metadata一鍵下載,並在IDaaS中上傳;或提供公開介面,允許IDaaS將配置資訊拉取過來。

image.png

IDaaS即可擷取到配置SSO的所有資訊,預填充進表單。無需管理員手動設定,確認儲存即可完成。

IDaaS 側配置欄位說明

欄位

說明

舉例

基本配置(必填)

單點登入地址

ACS URL

應用的SAML SSO核心地址,與IDaaS互動處理單點登入請求。

https://signin.example.com/1021*****4813/saml/SSO

應用唯一標識

SP Entity ID

應用在IDaaS中的標識,通常在應用側擷取,格式通常為應用URI。若應用側沒有要求,直接複用單點登入地址即可。

https://signin.example.com/1021*****4813/saml/SSO

應用賬戶

SAML協議中將應用賬戶稱為NameID。請參考:SAML應用賬戶配置

選擇:使用IDaaS賬戶名(Username)

授權範圍

請參考:單點登入通用說明

選擇:全員可訪問

進階配置(選填)

預設跳轉地址

Default RelayState

IDP發起SSO登入成功後,應用自動跳轉的地址。在SAML Response中會在RelayState參數中傳遞,應用讀取後實現跳轉。

應用內二級菜單頁

NameID格式NameIDFormat

SAML Response中指定賬戶標識NameID欄位格式。很多應用不對 NameIDFormat進行處理,所以一般無需修改。

選擇:1.1 Unspecified

Binding格式

Binding

Binding欄位指定了雙方請求的方式。目前只支援Redirect-POST,一般無需修改。

選擇:Redirect-POST

是否對斷言簽名

Sign Assertion

IDaaS會為所有SAML 請求籤名,暫不支援修改。

-

簽名演算法

Signing Algorithm

簽名使用的非對稱演算法,當前僅支援RSA-SHA256演算法,一般無需修改。

選擇:RSA-SHA256

斷言屬性

Attribute Statements

在 SAML Response中,可以將額外使用者欄位(例如郵箱、顯示名稱等)返回給應用解析。參考SAML Attribute Statements值填寫規範

-

SSO發起方

使用者訪問由應用發起,還是支援門戶發起。

只允許應用發起

登入發起地址

若SSO發起方設定為支援門戶和應用發起,可填寫登入發起地址。門戶頁訪問應用時,IDaaS會跳轉到本地址,應即刻自動向IDaaS發起 SAMLRequest登入請求。

-

應用側配置

捷徑:上傳IDaaS設定檔

為了便於應用側配置,IDaaS支援將配置資訊一鍵下載。

image.png

部分應用配置SSO時,支援metadata資訊上傳。可將IDaaS設定檔上傳,或將metadata地址填寫至應用側。無需手動設定,即可完成對接。

應用側配置欄位說明

應用側需要配置IDaaS的資訊,完成對接。​

IDaaS會在單點登入配置頁中,集中展示所有應用側可能需要使用的資訊,方便配置。具體欄位說明如下:

欄位名稱

說明

樣本

IDP唯一標識

IDP Entity ID

IDaaS在應用中的標識。可能需要將值填寫在應用側SSO配置中。

https://xxxxx.aliyunidaas.com

IDP SSO地址

IDP-init SSO URL

SAML協議支援SP發起單點登入,可能需要填寫此地址在應用配置中。

https://xxxxx.aliyunidaas.com.cn/saml/idp/saml1

單點退出地址暫不支援

SLO URL

SAML協議支援單點登出。若希望實現此功能,需要填寫此地址在應用配置中。

-

密鑰憑證

Certificate

IDaaS發送的單點登入結果,會自動攜帶一個電子簽名。應用可以使用這裡的公開金鑰,對結果驗簽,確認結果是IDaaS發出,確保安全。

-----BEGIN CERTIFICATE-----

MIIDEjCCAfqgAwIBAgIHAYnNmX60izANBgkqhkiG9w0BAQsFADApMRowGAYDVQQD.....