全部產品
Search
文件中心

Resource Access Management:使用Okta進行使用者SSO的樣本

更新時間:Feb 05, 2024

本文提供一個以Okta與阿里雲進行使用者SSO的樣本,協助您理解企業IdP與阿里雲進行SSO的端到端配置流程。

步驟一:在阿里雲擷取SAML服務提供者中繼資料

  1. 使用阿里雲帳號登入RAM控制台
  2. 在左側導覽列,選擇整合管理 > SSO管理
  3. SSO管理頁面,單擊使用者SSO頁簽。
  4. SSO登入設定地區,複製SAML服務提供者中繼資料URL
  5. 在新的瀏覽器視窗中開啟複製的連結,將中繼資料XML檔案另存到本地。
    說明 中繼資料XML檔案儲存了阿里雲作為一個SAML服務提供者的訪問資訊。您需要記錄XML檔案中EntityDescriptor元素的entityID屬性值和AssertionConsumerService元素的Location屬性值,以便後續在Okta的配置中使用。

步驟二:在Okta建立支援SAML SSO的應用

  1. 登入Okta門戶
  2. 單擊頁面右上方的帳號表徵圖,然後單擊Your Org
  3. 在左側導覽列,選擇Applications > Applications
  4. Applications頁面,單擊Create App Integration
  5. Create a new app integration對話方塊,單擊SAML 2.0,然後單擊Next
  6. 配置應用程式名稱為AliyunSSODemo,單擊Next
  7. 配置SAML,然後單擊Next
  8. Feedback頁面,根據需要選擇合適的應用類型,然後單擊Finish

步驟三:在Okta擷取SAML IdP中繼資料

  1. 在應用程式AliyunSSODemo詳情頁,單擊Sign On
  2. Settings地區,單擊Identity Provider metadata,將IdP中繼資料另存到本地。

步驟四:在阿里雲開啟使用者SSO

  1. 在RAM控制台的左側導覽列,選擇整合管理 > SSO管理
  2. SSO管理頁面,單擊使用者SSO頁簽。
  3. SSO登入設定地區,單擊編輯
  4. 編輯SSO登入設定面板的SSO功能狀態地區,單擊開啟
    說明 使用者SSO是一個全域功能,開啟後,所有RAM使用者都需要使用SSO登入。 如果您是通過RAM使用者配置的,請先保留為關閉狀態,您需要先完成RAM使用者的建立,以免配置錯誤導致自己無法登入。您也可以通過阿里雲帳號(主帳號)進行配置來規避此問題。
  5. 中繼資料文檔地區,單擊上傳檔案,上傳從步驟三:在Okta擷取SAML IdP中繼資料中擷取的IdP中繼資料。
  6. 輔助網域名稱地區,單擊開啟,並配置輔助網域名稱為Okta中的使用者名稱Email尾碼。
    說明 如果您的Okta中存在多種Email尾碼的使用者,則只有以此處配置的尾碼結尾的Email地址可以登入到阿里雲。
  7. 單擊確定

步驟五:在Okta建立使用者並分配應用

  1. 在Okta左側導覽列,選擇Directory > People
  2. 單擊Add Person
  3. Add Person頁面,填寫基本資料並將Primary email配置為u2@example.com,然後單擊Save
  4. 在使用者列表中,單擊使用者u2@example.comStatus列的Activate,然後根據頁面提示啟用u2@example.com。
  5. 在左側導覽列,選擇Applications > Applications
  6. 單擊目標應用程式名稱(AliyunSSODemo)後,在Assignments頁簽,選擇Assign > Assign to People
  7. 單擊目標使用者(u2@example.com)後的Assign
  8. 單擊Save and Go Back
  9. 單擊Done

步驟六:在阿里雲建立RAM使用者

  1. 在RAM控制台的左側導覽列,選擇身份管理 > 使用者
  2. 使用者頁面,單擊建立使用者
  3. 建立使用者頁面,輸入登入名稱稱顯示名稱
    說明 請確保RAM使用者的登入名稱稱首碼與Okta中的使用者名稱首碼保持一致,本樣本中為u2。
  4. 訪問方式地區,選擇控制台訪問,並設定登入密碼等參數。
  5. 單擊確定

驗證結果

完成上述配置後,您可以從阿里雲或Okta發起SSO登入。

  • 從阿里雲側發起登入
    1. RAM控制台頁,複製RAM使用者的登入地址。
    2. 將滑鼠移至上方在右上方頭像的位置,單擊退出登入或使用新的瀏覽器開啟複製的RAM使用者登入地址。
    3. 單擊使用企業帳號登入,系統會自動跳轉到Okta的登入頁面。企業賬戶登入
    4. 在Okta的登入介面,輸入使用者名稱(u2@example.com)和密碼,單擊登入

    系統將自動SSO登入並重新導向到您指定的DefaultRelayState頁面。如果未指定DefaultRelayState或超出允許範圍,則系統會訪問如下阿里雲控制台首頁。如果出現以下頁面,表示配置成功。

    SSO_Okta配置驗證
  • 從Okta側發起登入

    使用Okta使用者登入Okta門戶,在Okta的首頁,找到並單擊AliyunSSODemo應用。

    系統將自動SSO登入並重新導向到您指定的DefaultRelayState頁面。如果未指定DefaultRelayState或超出允許範圍,則系統會訪問以下阿里雲控制台首頁。如果出現以下頁面,表示配置成功。

    SSO_Okta配置驗證