本文提供一個以Okta與阿里雲進行使用者SSO的樣本,協助您理解企業IdP與阿里雲進行SSO的端到端配置流程。
步驟一:在阿里雲擷取SAML服務提供者中繼資料
- 使用阿里雲帳號登入RAM控制台。
- 在左側導覽列,選擇 。
- 在SSO管理頁面,單擊使用者SSO頁簽。
- 在SSO登入設定地區,複製SAML服務提供者中繼資料URL。
- 在新的瀏覽器視窗中開啟複製的連結,將中繼資料XML檔案另存到本地。說明 中繼資料XML檔案儲存了阿里雲作為一個SAML服務提供者的訪問資訊。您需要記錄XML檔案中
EntityDescriptor
元素的entityID
屬性值和AssertionConsumerService
元素的Location
屬性值,以便後續在Okta的配置中使用。
步驟二:在Okta建立支援SAML SSO的應用
- 登入Okta門戶。
- 單擊頁面右上方的帳號表徵圖,然後單擊Your Org。
- 在左側導覽列,選擇 。
- 在Applications頁面,單擊Create App Integration。
- 在Create a new app integration對話方塊,單擊SAML 2.0,然後單擊Next。
- 配置應用程式名稱為AliyunSSODemo,單擊Next。
- 配置SAML,然後單擊Next。
- 在Feedback頁面,根據需要選擇合適的應用類型,然後單擊Finish。
步驟三:在Okta擷取SAML IdP中繼資料
- 在應用程式AliyunSSODemo詳情頁,單擊Sign On。
- 在Settings地區,單擊Identity Provider metadata,將IdP中繼資料另存到本地。
步驟四:在阿里雲開啟使用者SSO
- 在RAM控制台的左側導覽列,選擇 。
- 在SSO管理頁面,單擊使用者SSO頁簽。
- 在SSO登入設定地區,單擊編輯。
- 在編輯SSO登入設定面板的SSO功能狀態地區,單擊開啟。說明 使用者SSO是一個全域功能,開啟後,所有RAM使用者都需要使用SSO登入。 如果您是通過RAM使用者配置的,請先保留為關閉狀態,您需要先完成RAM使用者的建立,以免配置錯誤導致自己無法登入。您也可以通過阿里雲帳號(主帳號)進行配置來規避此問題。
- 在中繼資料文檔地區,單擊上傳檔案,上傳從步驟三:在Okta擷取SAML IdP中繼資料中擷取的IdP中繼資料。
- 在輔助網域名稱地區,單擊開啟,並配置輔助網域名稱為Okta中的使用者名稱Email尾碼。說明 如果您的Okta中存在多種Email尾碼的使用者,則只有以此處配置的尾碼結尾的Email地址可以登入到阿里雲。
- 單擊確定。
步驟五:在Okta建立使用者並分配應用
- 在Okta左側導覽列,選擇 。
- 單擊Add Person。
- 在Add Person頁面,填寫基本資料並將Primary email配置為u2@example.com,然後單擊Save。
- 在使用者列表中,單擊使用者u2@example.comStatus列的Activate,然後根據頁面提示啟用u2@example.com。
- 在左側導覽列,選擇 。
- 單擊目標應用程式名稱(AliyunSSODemo)後,在Assignments頁簽,選擇 。
- 單擊目標使用者(u2@example.com)後的Assign。
- 單擊Save and Go Back。
- 單擊Done。
步驟六:在阿里雲建立RAM使用者
- 在RAM控制台的左側導覽列,選擇 。
- 在使用者頁面,單擊建立使用者。
- 在建立使用者頁面,輸入登入名稱稱和顯示名稱。說明 請確保RAM使用者的登入名稱稱首碼與Okta中的使用者名稱首碼保持一致,本樣本中為u2。
- 在訪問方式地區,選擇控制台訪問,並設定登入密碼等參數。
- 單擊確定。
驗證結果
完成上述配置後,您可以從阿里雲或Okta發起SSO登入。
- 從阿里雲側發起登入
- 在RAM控制台的頁,複製RAM使用者的登入地址。
- 將滑鼠移至上方在右上方頭像的位置,單擊退出登入或使用新的瀏覽器開啟複製的RAM使用者登入地址。
- 單擊使用企業帳號登入,系統會自動跳轉到Okta的登入頁面。
- 在Okta的登入介面,輸入使用者名稱(u2@example.com)和密碼,單擊登入。
系統將自動SSO登入並重新導向到您指定的DefaultRelayState頁面。如果未指定DefaultRelayState或超出允許範圍,則系統會訪問如下阿里雲控制台首頁。如果出現以下頁面,表示配置成功。
- 從Okta側發起登入
使用Okta使用者登入Okta門戶,在Okta的首頁,找到並單擊AliyunSSODemo應用。
系統將自動SSO登入並重新導向到您指定的DefaultRelayState頁面。如果未指定DefaultRelayState或超出允許範圍,則系統會訪問以下阿里雲控制台首頁。如果出現以下頁面,表示配置成功。