全部產品
Search
文件中心

Resource Access Management:進行角色SSO時企業IdP的SAML配置

更新時間:Feb 28, 2024

進行角色SSO時,為了建立企業IdP對阿里雲的信任,需要在企業IdP中配置阿里雲為可信SAML服務提供者(SP)。

操作步驟

  1. 從阿里雲擷取SAML服務提供者中繼資料URL。

    URL為https://signin.alibabacloud.com/saml-role/sp-metadata.xml

  2. 在企業IdP中建立一個SAML SP,並根據實際情況選擇下面任意一種方式配置阿里雲為信賴方。

    • 直接使用步驟1所述的阿里雲中繼資料URL進行配置。

    • 如果您的IdP不支援URL配置,您可以從步驟1所述URL下載中繼資料檔案,並上傳至您的IdP。

    • 如果您的IdP不支援中繼資料檔案上傳,則需要手動設定以下參數:

      • Entity IDurn:alibaba:cloudcomputing:international

      • ACS URLhttps://signin.alibabacloud.com/saml-role/sso

      • RelayState(可選):如果您的IdP支援設定RelayState參數,您可以將其配置成SSO登入成功後希望跳轉到的頁面URL。如果不進行配置,SSO登入成功後,將會跳轉到阿里雲控制台首頁。

        說明

        出於安全原因,您只能填寫阿里巴巴旗下的網域名稱URL作為RelayState的值,例如:*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com。

後續步驟

在企業IdP中配置阿里雲為可信SAML SP後,需要在企業IdP中配置SAML斷言屬性。更多資訊,請參見角色SSO的SAML響應