本文介绍通过基于SAML 2.0的用户SSO,配置相应元数据来建立阿里云对企业身份提供商(IdP)的信任,实现企业IdP通过用户SSO登录阿里云。
背景信息
设置默认域名、域别名或辅助域名可以简化SAML SSO的配置流程。关于如何设置阿里云账号的默认域名或域别名,请参见查看和修改默认域名或创建并验证域别名。
操作步骤
阿里云账号登录RAM控制台。
在左侧导航栏,选择。
单击用户SSO页签,查看当前SSO登录设置相关信息。
单击编辑,配置SSO登录设置相关信息。
SSO功能状态:选择开启或关闭。
说明该功能只对阿里云账号下的所有RAM用户生效,不会影响阿里云账号的登录。该设置不影响使用AccessKey发起的OpenAPI调用。
此功能默认为关闭,此时RAM用户可以使用密码登录,所有SSO设置不生效。
如果选择开启此功能,此时RAM用户密码登录方式将会被关闭,统一跳转到企业IdP登录服务进行身份认证。如果再次关闭,用户密码登录方式自动恢复。
元数据文档:单击上传文件,上传企业IdP提供的元数据文档。
说明元数据文档由企业IdP提供,一般为XML格式,包含IdP的登录服务地址以及X.509公钥证书(用于验证IdP所颁发的SAML断言的有效性)。
辅助域名(可选):开启辅助域名开关,可以设置一个辅助域名。
如果设置了辅助域名,SAML断言中的
NameID元素将可以使用此辅助域名作为后缀。如果没有设置辅助域名,SAML断言中的
NameID元素将只能使用当前账号的默认域名或域别名作为后缀。
关于
NameID元素的取值,请参见用户SSO的SAML响应。说明如果您同时设置了域别名和辅助域名,辅助域名将不会生效。此时,
NameID元素只能使用域别名或默认域名作为后缀。
单击确定。
后续步骤
完成SAML配置后,选择以下一种方法创建与企业IdP相匹配的RAM用户:
登录RAM控制台手动创建与企业IdP匹配的RAM用户,详情请参见创建RAM用户。
使用RAM SDK编写程序或阿里云CLI来创建RAM用户,详情请参见CreateUser - 创建RAM用户。