本文介紹通過基於SAML 2.0的使用者SSO,配置相應中繼資料來建立阿里雲對企業身份供應商(IdP)的信任,實現企業IdP通過使用者SSO登入阿里雲。
背景資訊
設定預設網域名稱、域別名或輔助網域名稱可以簡化SAML SSO的配置流程。關於如何設定阿里雲帳號的預設網域名稱或域別名,請參見查看和修改預設網域名稱或建立並驗證域別名。
操作步驟
阿里雲帳號登入RAM控制台。
在左側導覽列,選擇 。
單擊使用者SSO頁簽,查看當前SSO登入設定相關資訊。
單擊編輯,配置SSO登入設定相關資訊。
SSO功能狀態:選擇開啟或關閉。
說明該功能只對阿里雲帳號下的所有RAM使用者生效,不會影響阿里雲帳號的登入。該設定不影響使用AccessKey發起的OpenAPI調用。
此功能預設為關閉,此時RAM使用者可以使用密碼登入,所有SSO設定不生效。
如果選擇開啟此功能,此時RAM使用者密碼登入方式將會被關閉,統一跳轉到企業IdP登入服務進行身份認證。如果再次關閉,使用者密碼登入方式自動回復。
中繼資料文檔:單擊上傳檔案,上傳企業IdP提供的中繼資料文檔。
說明中繼資料文檔由企業IdP提供,一般為XML格式,包含IdP的登入服務地址以及X.509密鑰憑證(用於驗證IdP所頒發的SAML斷言的有效性)。
輔助網域名稱(可選):開啟輔助網域名稱開關,可以設定一個輔助網域名稱。
如果設定了輔助網域名稱,SAML斷言中的
NameID
元素將可以使用此輔助網域名稱作為尾碼。如果沒有設定輔助網域名稱,SAML斷言中的
NameID
元素將只能使用當前帳號的預設網域名稱或域別名作為尾碼。
關於
NameID
元素的取值,請參見使用者SSO的SAML響應。說明如果您同時設定了域別名和輔助網域名稱,輔助網域名稱將不會生效。此時,
NameID
元素只能使用域別名或預設網域名稱作為尾碼。
單擊確定。
後續步驟
完成SAML配置後,選擇以下一種方法建立與企業IdP相匹配的RAM使用者:
登入RAM控制台手動建立與企業IdP匹配的RAM使用者,詳情請參見建立RAM使用者。
使用RAM SDK編寫程式或阿里雲CLI來建立RAM使用者,詳情請參見CreateUser - 建立RAM使用者。