進行角色SSO時,為了建立企業IdP對阿里雲的信任,需要在企業IdP中配置阿里雲為可信SAML服務提供者(SP)。
操作步驟
從阿里雲擷取SAML服務提供者中繼資料URL。
URL為
https://signin.alibabacloud.com/saml-role/sp-metadata.xml
。在企業IdP中建立一個SAML SP,並根據實際情況選擇下面任意一種方式配置阿里雲為信賴方。
直接使用步驟1所述的阿里雲中繼資料URL進行配置。
如果您的IdP不支援URL配置,您可以從步驟1所述URL下載中繼資料檔案,並上傳至您的IdP。
如果您的IdP不支援中繼資料檔案上傳,則需要手動設定以下參數:
Entity ID
:urn:alibaba:cloudcomputing:international
ACS URL
:https://signin.alibabacloud.com/saml-role/sso
RelayState
(可選):如果您的IdP支援設定RelayState
參數,您可以將其配置成SSO登入成功後希望跳轉到的頁面URL。如果不進行配置,SSO登入成功後,將會跳轉到阿里雲控制台首頁。說明出於安全原因,您只能填寫阿里巴巴旗下的網域名稱URL作為
RelayState
的值,例如:*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com。
後續步驟
在企業IdP中配置阿里雲為可信SAML SP後,需要在企業IdP中配置SAML斷言屬性。更多資訊,請參見角色SSO的SAML響應。