本文提供一個以Shibboleth與阿里雲進行使用者SSO的樣本,協助您理解企業IdP與阿里雲進行SSO的端到端配置流程。
準備工作
安裝Shibboleth、Tomcat和LDAP Server。
配置LDAP Server。
為了更好地示範樣本,在LDAP中添加一個管理員帳號,DN為
uid=admin,ou=system,密碼為secret。在LDAP中添加一個測試帳號,DN為
cn=Test User,ou=users,dc=wimpi,dc=net,密碼為secret,具體資訊如下圖所示。
使用者資訊欄位:
mail:對應阿里雲的RAM使用者登入名稱稱。
memberof:對應於阿里雲的RAM角色名稱。
samaccountname:用於配置登入Shibboleth的使用者名稱。
userpassword:登入的密碼。
配置Shibboleth串連LDAP Server。
修改
/opt/shibboleth-idp/conf/ldap.properties檔案的以下資料:# LDAP認證模式 idp.authn.LDAP.authenticator = bindSearchAuthenticator # LDAP的地址 idp.authn.LDAP.ldapURL = ldaps://[LDAP服務地址]:389 # 禁用TSL和SSL idp.authn.LDAP.useStartTLS = false idp.authn.LDAP.useSSL = false # 基本搜尋目錄 idp.authn.LDAP.baseDN = dc=wimpi,dc=net idp.authn.LDAP.subtreeSearch = true # 登入匹配規則,samaccountname是使用者資料中的欄位,用於登入LDAP。 idp.authn.LDAP.userFilter= (samaccountname={user}) # admin賬戶和密碼 idp.authn.LDAP.bindDN = uid=admin,ou=system idp.authn.LDAP.bindDNCredential = secret idp.attribute.resolver.LDAP.searchFilter =(samaccountname=$resolutionContext.principal)
本文中涉及的Shibboleth配置部分屬於建議,僅用於協助理解阿里雲SSO登入的端到端配置流程,阿里雲不提供Shibboleth配置的諮詢服務。
步驟一:在阿里雲擷取SAML服務提供者中繼資料
使用阿里雲帳號登入RAM控制台。
在左側導覽列,選擇。
在SSO管理頁面,單擊使用者SSO頁簽。
在SSO登入設定地區,複製SAML服務提供者中繼資料URL。
在新的瀏覽器視窗中開啟複製的連結,將中繼資料XML檔案另存到
/opt/shibboleth-idp/metadata/aliyun-ram-user-metadata.xml。說明中繼資料XML檔案儲存了阿里雲作為一個SAML服務提供者的訪問資訊。您需要記錄XML檔案中
EntityDescriptor元素的entityID屬性值,以便後續在Shibboleth的配置中使用。
步驟二:將阿里雲註冊到Shibboleth
配置/opt/shibboleth-idp/conf/metadata-providers.xml,指定步驟一:在阿里雲擷取SAML服務提供者中繼資料擷取的中繼資料檔案,將阿里雲註冊到Shibboleth。
<!--
<MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="PATH_TO_YOUR_METADATA"/>
-->
<!-- 找到上方注釋代碼,替換為下方代碼 -->
<MetadataProvider id="AliyunMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/aliyun-ram-user-metadata.xml"/>步驟三:配置Shibboleth返回的使用者屬性
修改
/opt/shibboleth/conf/services.xml。原版使用的是
attribute-resolver.xml設定檔,包含的配置資訊不夠,需要啟動完整版的配置,將其替換為attribute-resolver-full.xml。<value>%{idp.home}/conf/attribute-resolver.xml</value> <!-- 找到上方代碼,替換為下方代碼 --> <value>%{idp.home}/conf/attribute-resolver-full.xml</value>修改
/opt/shibboleth/conf/attribute-resolver-full.xml。在該檔案中配置使用者資訊中返回的屬性。本樣本中選擇
mail欄位作為返回屬性。<!-- ========================================== --> <!-- Attribute Definitions --> <!-- ========================================== --> <!-- Schema: Core schema attributes--> <!-- 找到上方注釋代碼,在後面加入下方代碼 --> <AttributeDefinition xsi:type="Simple" id="mail"> <InputDataConnector ref="myLDAP" attributeNames="mail" /> <AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:mail" encodeType="false" /> <AttributeEncoder xsi:type="SAML2String" name="urn:oid:0.9.2342.19200300.100.1.3" friendlyName="mail" encodeType="false" /> </AttributeDefinition>在該檔案中讀取
/opt/shibboleth/conf/ldap.properties中配置的資訊,進行IDAP串連的建立。<!-- Example LDAP Connector --> <!-- <DataConnector id="myLDAP" xsi:type="LDAPDirectory" ldapURL="%{idp.attribute.resolver.LDAP.ldapURL}" baseDN="%{idp.attribute.resolver.LDAP.baseDN}" principal="%{idp.attribute.resolver.LDAP.bindDN}" principalCredential="%{idp.attribute.resolver.LDAP.bindDNCredential}" useStartTLS="%{idp.attribute.resolver.LDAP.useStartTLS:true}" ...省略... </DataConnector> --> <!-- 找到上方範例程式碼,將其替換為下方代碼 --> <DataConnector id="myLDAP" xsi:type="LDAPDirectory" ldapURL="%{idp.attribute.resolver.LDAP.ldapURL}" baseDN="%{idp.attribute.resolver.LDAP.baseDN}" principal="%{idp.attribute.resolver.LDAP.bindDN}" principalCredential="%{idp.attribute.resolver.LDAP.bindDNCredential}" useStartTLS="%{idp.attribute.resolver.LDAP.useStartTLS}" connectTimeout="%{idp.attribute.resolver.LDAP.connectTimeout}" responseTimeout="%{idp.attribute.resolver.LDAP.responseTimeout}"> <FilterTemplate> <![CDATA[ %{idp.attribute.resolver.LDAP.searchFilter} ]]> </FilterTemplate> </DataConnector>
修改
/opt/shibboleth/conf/attribute-filter.xml,添加屬性過濾器。將
PolicyRequirementRule標籤中的value屬性替換為步驟一:在阿里雲擷取SAML服務提供者中繼資料中的阿里雲entityID。<AttributeFilterPolicyGroup id="ShibbolethFilterPolicy" xmlns="urn:mace:shibboleth:2.0:afp" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd"> <!-- 找到上方代碼,在後面加入下方代碼 --> <AttributeFilterPolicy id="aliyun"> <PolicyRequirementRule xsi:type="Requester" value="[entityID]" /> <AttributeRule attributeID="mail"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> </AttributeFilterPolicy>
步驟四:配置SAML響應的NameID
修改
/opt/shibboleth/conf/relying-party.xml,為阿里雲建立NameID的配置。將
bean標籤中的relyingPartyIds屬性替換為步驟一:在阿里雲擷取SAML服務提供者中繼資料中的阿里雲entityID。<!-- Override example that identifies a single RP by name and configures it for SAML 2 SSO without encryption. This is a common "vendor" scenario. --> <!-- <bean parent="RelyingPartyByName" c:relyingPartyIds="https://sp.example.org"> <property name="profileConfigurations"> <list> <bean parent="SAML2.SSO" p:encryptAssertions="false" /> </list> </property> </bean> --> <!-- 找到上方注釋代碼,替換為下方代碼 --> <bean parent="RelyingPartyByName" c:relyingPartyIds="[entityID]"> <property name="profileConfigurations"> <list> <bean parent="SAML2.SSO" p:encryptAssertions="false" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" /> </list> </property> </bean>修改
/opt/shibboleth/conf/saml-nameid.xml,配置NameID的產生方式。<!-- 找到下方兩處代碼,將其注釋取消,使之生效 --> <bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:omitQualifiers="true" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'mail'} }" /> <bean parent="shibboleth.SAML1AttributeSourcedGenerator" p:omitQualifiers="true" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'mail'} }" />修改
/opt/shibboleth/conf/saml-nameid.properties,配置NameID的相關屬性。idp.nameid.saml2.default = urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress idp.persistentId.useUnfilteredAttributes = true idp.persistentId.encoding = BASE32
步驟五:在Shibboleth擷取SAML IdP中繼資料
重啟Tomcat,使前面的配置生效。
訪問
https:///<您的伺服器位址>/idp/shibboleth,將中繼資料檔案儲存到本地。
步驟六:在阿里雲開啟使用者SSO
在RAM控制台的左側導覽列,選擇。
在SSO管理頁面,單擊使用者SSO頁簽。
在SSO登入設定地區,單擊編輯。
在編輯SSO登入設定面板的SSO功能狀態地區,單擊開啟。
說明使用者SSO是一個全域功能,開啟後,所有RAM使用者都需要使用SSO登入。 如果您是通過RAM使用者配置的,請先保留為關閉狀態,您需要先完成RAM使用者的建立,以免配置錯誤導致自己無法登入。您也可以通過阿里雲帳號(主帳號)進行配置來規避此問題。
在中繼資料文檔地區,單擊上傳檔案,上傳從步驟五:在Shibboleth擷取SAML IdP中繼資料中擷取的IdP中繼資料檔案。
在輔助網域名稱地區,單擊開啟,並配置輔助網域名稱為Shibboleth中的使用者名稱Email尾碼。
在本樣本中為
testdomain.alicloud.com。單擊確定。
步驟七:在阿里雲建立RAM使用者
在RAM控制台的左側導覽列,選擇。
在使用者頁面,單擊建立使用者。
在建立使用者頁面,輸入登入名稱稱和顯示名稱。
說明請確保RAM使用者的登入名稱稱首碼與Shibboleth中的使用者名稱Email首碼保持一致,本樣本中為testUser。
在訪問方式地區,選擇控制台訪問,並設定登入密碼等參數。
單擊確定。
驗證結果
完成上述配置後,您可以從阿里雲或Shibboleth發起SSO登入。
從阿里雲側發起登入
在RAM控制台的概覽頁,複製RAM使用者的登入地址。
將滑鼠移至上方在右上方頭像的位置,單擊退出登入或使用新的瀏覽器開啟複製的RAM使用者登入地址。
單擊使用企業帳號登入,系統會自動跳轉到Shibboleth的登入頁面。
在Shibboleth的登入介面,輸入使用者名稱(testUser)和密碼,單擊登入。
系統將自動SSO登入並重新導向到阿里雲控制台首頁。
從Shibboleth側發起登入
訪問
https://<您的伺服器位址>/idp/profile/SAML2/Unsolicited/SSO?providerId=<entityID>。該連結中的
<entityID>為步驟一:在阿里雲擷取SAML服務提供者中繼資料中的阿里雲entityID。在Shibboleth的登入介面,輸入使用者名稱(testUser)和密碼,單擊登入。
系統將自動SSO登入並重新導向到阿里雲控制台首頁。
常見問題
結果驗證時如果遇到問題,您可以查看/opt/shibboleth-idp/logs/idp-process.log,通過日誌分析問題原因。常見問題如下:
Shibboleth使用者名稱密碼正確,但是登入後提示異常。
查看/opt/shibboleth-idp/logs/idp-process.log中的報錯資訊,如果是與ValidateUsernamePassword錯誤有關,則重點檢查IDAP的串連配置和部署情況,重點查看是否將注釋去除,且不能輸入多餘空格。
登入後無響應,提示unable to connect to the ldap。
檢查ldap.properties和attribute-resolver-full.xml檔案中IDAP串連的相關配置。
登入後轉跳阿里雲,提示The NameID is missing。
檢查步驟三:配置Shibboleth返回的使用者屬性中是否正確將使用者資訊中的mail映射為屬性,檢查步驟四:配置SAML響應的NameID中NameID配置是否正確。
訪問https://<您的伺服器位址>/idp/profile/SAML2/Unsolicited/SSO?providerId=<entityID>時提示Unsupported Request。
檢查entityId是否配置正確。metadata檔案夾下的中繼資料、attribute-filter.xml和relying-party.xml三處中的entityId必須保持一致。
登入後轉跳阿里雲,提示The response signature is invalid。
重新將Shibboleth的中繼資料檔案上傳到阿里雲。