阿里雲與企業進行角色SSO時,阿里雲是服務提供者(SP),而企業自有的身份管理系統則是身份供應商(IdP)。通過角色SSO,企業可以在本地IdP中管理員工資訊,無需進行阿里雲和企業IdP間的使用者同步,企業員工將使用指定的RAM角色登入阿里雲。
基本流程
企業員工可以通過控制台或程式訪問阿里雲。
通過控制台訪問阿里雲
當管理員在完成角色SSO的相關配置後,企業員工Alice可以通過如下圖所示的方法登入到阿里雲。
操作步驟:
Alice使用瀏覽器在IdP的登入頁面中選擇阿里雲作為目標服務。
例如:如果企業IdP使用AD FS(Microsoft Active Directory Federation Service),則登入URL為:
https://ADFSServiceName/adfs/ls/IdpInitiatedSignOn.aspx。說明有些IdP會要求使用者先登入,再選擇代表阿里雲的SSO應用。
IdP產生一個SAML響應並返回給瀏覽器。
瀏覽器重新導向到SSO服務頁面,並轉寄SAML響應給SSO服務。
SSO服務使用SAML響應向阿里雲STS服務要求臨時安全憑證,並產生一個可以使用臨時安全憑證登入阿里雲控制台的URL。
說明如果SAML響應中包含映射到多個RAM角色的屬性,系統將會首先提示使用者選擇一個用於訪問阿里雲的角色。
SSO服務將URL返回給瀏覽器。
瀏覽器重新導向到該URL,以指定RAM角色登入到阿里雲控制台。
通過程式訪問阿里雲
企業員工Alice可以通過編寫程式來訪問阿里雲,基本流程如下圖所示。
操作步驟:
Alice使用程式向企業IdP發起登入請求。
IdP產生一個SAML響應,其中包含關於登入使用者的SAML斷言,並將此響應返回給程式。
程式調用阿里雲STS服務提供的API AssumeRoleWithSAML,並傳遞以下資訊:
阿里雲中身份供應商的ARN、要扮演的角色的ARN以及來自企業IdP的SAML斷言。
STS服務將校正SAML斷言並返回臨時安全憑證給程式。
程式使用臨時安全憑證調用阿里雲API。
配置步驟
為了建立阿里雲與企業IdP之間的互信關係,需要進行阿里雲作為SP的SAML配置和企業IdP的SAML配置,配置完成後才能進行角色SSO。
為了建立阿里雲對企業IdP的信任,需要將企業IdP配置到阿里雲。
更多資訊,請參見進行角色SSO時阿里雲SP的SAML配置。
企業需要RAM控制台或程式建立用於SSO的RAM角色,並授予相關許可權。
更多資訊,請參見建立可信實體為身份供應商的RAM角色。
為了建立企業IdP對阿里雲的信任,需要在企業IdP中配置阿里雲為可信SAML SP並進行SAML斷言屬性的配置。
更多資訊,請參見進行角色SSO時企業IdP的SAML配置。
配置樣本
以下為您提供了常見的企業IdP與阿里雲進行角色SSO的配置樣本: