本文为您提供Okta与云SSO进行单点登录(SSO登录)的示例。
背景信息
假设企业在本地IdP Okta中有大量用户,且已在阿里云资源目录(RD)中搭建了多账号体系结构。企业希望经过配置,使Okta的用户通过SSO登录的方式直接访问资源目录指定成员账号中的指定资源。
步骤一:在云SSO获取服务提供商(SP)元数据
登录云SSO控制台。
在左侧导航栏,单击设置。
在SSO登录区域,复制服务提供商(SP)的ACS URL和Entity ID。
步骤二:在Okta创建应用程序
登录Okta门户。
单击页面右上方的账号图标,然后单击Your Org。
在左侧导航栏,选择。
在Applications页面,单击Browse App Catalog。
搜索并找到名为Alibaba Cloud CloudSSO的应用程序。
打开应用程序介绍页面后,单击Add integration,添加应用程序。
配置应用程序信息。
在General Settings页面,输入应用名称CloudSSODemo,然后单击Done。
在Sign on页面的settings区域,单击Edit。
Default RelayState:用来配置SSO登录成功后跳转到的阿里云页面。如果不配置,默认跳转到云SSO用户门户。
说明出于安全原因,您只能输入*.alibabacloudsso.com域名的URL,否则配置无效。
ACS URL:从步骤一:在云SSO获取服务提供商(SP)元数据获取的ACS URL值。
Entity ID:从步骤一:在云SSO获取服务提供商(SP)元数据获取的Entity ID值。
Application username:选择Okta username。
单击Save。
步骤三:在Okta获取身份提供商(IdP)元数据
在应用程序CloudSSODemo详情页,单击Sign On页签。
在SAML Signing Certificates区域,鼠标右键单击Actions下拉列表,选择View IdP metadata,将IdP元数据另存到本地。
步骤四:在Okta为应用程序分配用户
如果Okta中没有用户,您需要先创建用户。具体操作,请参见创建Okta用户。
步骤五:在云SSO启用SSO登录
在云SSO的左侧导航栏,单击设置。
在SSO登录区域,单击配置身份提供商信息。
在配置身份提供商信息对话框,选择上传元数据文档。
单击上传文件,上传从步骤三:在Okta获取身份提供商(IdP)元数据获取的IdP元数据文件。
打开SSO登录开关,启用SSO登录。
说明启用SSO登录后,用户名和密码登录将自动禁用,即云SSO用户将不能通过用户名和密码登录。而且,SSO登录是一个全局功能,启用后,所有用户都需要SSO登录。
步骤六:同步用户或创建用户
从Okta同步用户到云SSO,或者在云SSO创建同名用户。具体如下:
从Okta同步用户到云SSO(推荐):适用于Okta中拥有大量用户的情况。具体操作,请参见通过SCIM同步Okta用户或用户组的示例。
在云SSO创建同名用户:适用于Okta中仅有少量用户的情况。具体操作,请参见创建用户。
说明用户名会用于用户登录。当您进行SSO登录时,云SSO的用户名应该与Okta中用于SSO登录的字段保持一致。更多信息,请参见步骤二:在Okta创建应用程序。
(可选)步骤七:为用户授权
如果您计划用户SSO登录后访问资源目录指定成员账号中的指定资源,您还需要创建访问配置,并为用户在RD账号上授权。
验证结果
完成上述配置后,您可以从阿里云或Okta发起SSO登录。
