全部產品
Search
文件中心

Resource Access Management:使用Azure AD進行使用者SSO的樣本

更新時間:Feb 05, 2024

本文提供一個以Azure AD(Azure Active Directory)與阿里雲進行使用者SSO的樣本,協助您理解企業IdP與阿里雲進行SSO的端到端配置流程。

背景資訊

在本樣本中,企業擁有一個阿里雲帳號和一個Azure AD租戶。在Azure AD租戶中,您有一個管理使用者(已授予全域管理員許可權)和一個企業員工使用者(u2)。您希望經過配置,使企業員工使用者(u2)在登入Azure AD後,通過使用者SSO訪問阿里雲。

您需要通過管理使用者(已授予全域管理員許可權)執行本樣本Azure AD中的操作。關於如何在Azure AD中建立使用者和為使用者授權,請參見Azure AD文檔

步驟一:在阿里雲擷取SAML服務提供者中繼資料

  1. 使用阿里雲帳號登入RAM控制台

  2. 在左側導覽列,選擇整合管理 > SSO管理

  3. SSO管理頁面,單擊使用者SSO頁簽。

  4. SSO登入設定地區,複製SAML服務提供者中繼資料URL

  5. 在新的瀏覽器視窗中開啟複製的連結,將中繼資料XML檔案另存到本地。

    說明

    中繼資料XML檔案儲存了阿里雲作為一個SAML服務提供者的訪問資訊。您需要記錄該檔案中的entityIDLocation的值,以便後續在Azure AD的配置中使用。

步驟二:在Azure AD中建立應用

  1. 管理使用者登入Azure門戶

  2. 在首頁左上方,單擊SSO_AAD_icon表徵圖。

  3. 在左側導覽列,選擇Azure Active Directory > 公司專屬應用程式程式 > 所有應用程式

  4. 單擊建立應用程式

  5. 瀏覽Azure AD庫頁面,單擊建立你自己的應用程式

  6. 建立你自己的應用程式頁面,輸入應用程式名稱(例如:AliyunSSODemo),並選擇整合庫中未發現的任何其他應用程式(非庫),然後單擊建立

步驟三:在Azure AD中配置SAML

  1. AliyunSSODemo頁面,單擊左側導覽列的單一登入

  2. 選擇單一登入方法頁面,單擊SAML

  3. 設定SAML單一登入頁面進行以下配置。

    1. 在頁面左上方,單擊上傳中繼資料檔案,選擇檔案後,單擊添加

      說明

      此處上傳步驟一:在阿里雲擷取SAML服務提供者中繼資料中擷取的XML檔案。

    2. 基本SAML配置頁面,配置以下資訊,然後單擊儲存

      • 標識符(實體 ID):從上一步的中繼資料檔案中自動讀取entityID的值。

      • 回複 URL(判斷提示取用者服務 URL):從上一步的中繼資料檔案中自動讀取Location的值。

      • 中繼狀態:用來配置使用者SSO登入成功後跳轉到的阿里雲頁面。

        說明

        出於安全原因,您只能填寫阿里巴巴旗下的網域名稱URL作為中繼狀態的值,例如:*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com,否則配置無效。若不配置,預設跳轉到阿里雲控制台首頁。

    3. SAML簽署憑證地區,單擊下載,擷取聯合中繼資料XML

步驟四:在Azure AD分配使用者

  1. 在Azure AD首頁左上方,單擊SSO_AAD_icon表徵圖。

  2. 在左側導覽列,選擇Azure Active Directory > 公司專屬應用程式程式 > 所有應用程式

  3. 名稱列,單擊AliyunSSODemo

  4. 在左側導覽列,單擊使用者和組

  5. 單擊左上方的添加使用者/組

  6. 單擊使用者,從使用者列表中選擇使用者(u2),然後單擊選擇

  7. 單擊分配

步驟五:在阿里雲建立RAM使用者

  1. 在RAM控制台的左側導覽列,選擇身份管理 > 使用者

  2. 使用者頁面,單擊建立使用者

  3. 建立使用者頁面的使用者帳號資訊地區,輸入登入名稱稱顯示名稱

    請確保RAM使用者登入名稱稱首碼與Azure AD中的使用者名稱首碼保持一致。本樣本中為u2。

  4. 訪問方式地區,選擇訪問方式。

  5. 單擊確定

步驟六:在阿里雲開啟使用者SSO

  1. 在RAM控制台的左側導覽列,選擇整合管理 > SSO管理

  2. SSO管理頁面,單擊使用者SSO頁簽。

  3. SSO登入設定地區,單擊編輯

  4. 編輯SSO登入設定面板的SSO功能狀態地區,單擊開啟

    說明

    使用者SSO是一個全域功能,開啟後,所有通過控制台登入的RAM使用者都需要使用SSO登入。如果您是通過RAM使用者配置的,請先保留為關閉狀態,您需要先完成RAM使用者的建立,以免配置錯誤導致自己無法登入。您也可以通過阿里雲帳號進行配置來規避此問題。

  5. 中繼資料文檔地區,單擊上傳檔案,上傳從步驟三:在Azure AD中配置SAML中擷取的XML檔案。

  6. 輔助網域名稱地區,單擊開啟,並配置輔助網域名稱為Azure AD中的使用者名稱Email尾碼。

    例如:本樣本中Azure AD使用者(u2)的完整使用者名稱為u2@test.onmicrosoft.com,則此處填寫test.onmicrosoft.com。

  7. 單擊確定

驗證結果

完成SSO登入配置後,您可以從阿里雲或Azure AD發起SSO登入。

  • 從阿里雲側發起登入

    1. RAM控制台頁,複製RAM使用者的登入地址。

    2. 將滑鼠移至上方在右上方頭像的位置,單擊退出登入或使用新的瀏覽器開啟複製的RAM使用者登入地址。

    3. 單擊使用企業帳號登入,系統會自動跳轉到Azure AD的登入頁面。企業賬戶登入

    4. 使用使用者(u2)的使用者名稱和密碼登入。

      系統將自動SSO登入並重新導向到您指定的中繼狀態頁面。如果未指定中繼狀態或超出允許範圍,則系統會訪問以下阿里雲控制台首頁。

      使用者SSO配置驗證

  • 從Azure AD側發起登入

    1. 擷取使用者訪問URL

      1. 管理使用者登入Azure門戶

      2. 在首頁左上方,單擊SSO_AAD_icon表徵圖。

      3. 在左側導覽列,選擇Azure Active Directory > 公司專屬應用程式程式 > 所有應用程式

      4. 單擊應用程式AliyunSSODemo

      5. 在左側導覽列,單擊屬性,擷取使用者訪問URL

        使用者訪問URL是使用者直接從其瀏覽器訪問此應用程式的連結。

        使用者訪問URL

    2. 使用者(u2)從管理使用者處擷取上述使用者訪問URL在瀏覽器中輸入該URL,使用自己的帳號登入。

      系統將自動SSO登入並重新導向到您指定的中繼狀態頁面。如果未指定中繼狀態或超出允許範圍,則系統會訪問以下阿里雲控制台首頁。

      使用者SSO配置驗證