应用是IDaaS中承载业务应用、系统、服务的载体。通过应用,可实现到应用的单点登录(SSO),以及和IDaaS应用之间的账户同步。
本文将以配置阿里云用户SSO应用为例,实现IDaaS账户登录到阿里云控制台。
添加应用
请您单击完成具体操作。
IDaaS中预集成了一系列常用企业软件应用模板,进行了深度配置优化,可一键添加,配置简单。
对于市面上其他应用和自研应用,可以使用标准协议和自研应用模板进行接入。
阿里云用户SSO应用是市场中的第一个,点击立即添加,确认应用名称后,会自动跳转到配置页。
配置单点登录
单点登录(SSO)流程需要IDaaS与应用之间进行交互,需要在两端进行简单配置。
阿里云用户SSO背后使用SAML 2.0协议,SAML 2.0有十余个常用参数可配置,较为繁琐。而IDaaS为您提供了一键式配置方式,配置难度接近于无。
在IDaaS中的配置
开通应用后,页面会跳转到单点登录配置页,并将所有参数填充好。
请参考字段说明:
字段名 | 说明 |
阿里云主账号 ID | 配置单点登录到阿里云指定主账号下。 |
应用账户 | 设定单点登录时使用的账户标识。 默认使用:IDaaS账户名。详细说明请参考:SAML 应用账户配置。 |
授权范围 | 设定哪些账户可访问当前应用。 默认使用:手动授权。详细说明请参考:单点登录通用说明。 |
RAM 默认域名 | 一般无需填写。当RAM中配置了辅助域名时才需填写。 |
出于快速上手的目的,当前我们建议无需修改,直接点击保存。
在页面下方,有应用配置信息章节,请直接在其中下载metadata文件。文件中包含了所有单点登录配置信息,下一步中在RAM中上传即可。
在访问控制 RAM 中的配置
由于上一步中默认选择使用IDaaS账户名作为应用账户,请先确认创建的IDaaS账户名与RAM对应的用户名一致。若没有,请先创建RAM用户。若希望能灵活关联应用账户,请查看配置应用账户。具体操作请点击链接RAM SSO配置页。
请点击链接前往RAM SSO配置页,切换到用户SSO页签,点击编辑。
将SSO功能状态设置为开启,并上传刚才在IDaaS配置过程中下载的文件。
单击确定按钮后,配置完成。您已经可以使用IDaaS账号单点登录阿里云用户SSO应用。
下一步引导您体验单点登录。请前往最后一步:4.首次单点登录!。