全部产品
Search
文档中心

访问控制:进行用户SSO时企业IdP的SAML配置

更新时间:Feb 22, 2024

本文主要介绍企业在使用用户SSO时,如何在企业身份提供商(IdP)中配置阿里云为可信SAML服务提供商(SP)。

操作步骤

  1. 从阿里云获取SAML服务提供商元数据URL。

    1. 使用阿里云账号登录RAM控制台

    2. 在左侧导航栏,选择集成管理 > SSO管理

    3. SSO管理页面,单击用户SSO页签。

    4. SSO登录设置区域,查看当前阿里云账号的SAML服务提供商元数据URL

  2. 在企业IdP中创建一个SAML SP,并根据实际情况选择下面任意一种方式配置阿里云为信赖方。

    • 直接使用步骤1所述的阿里云元数据URL进行配置。

    • 如果您的IdP不支持URL配置,您可以通过步骤1所述URL下载元数据文件并上传至您的IdP。

    • 如果您的IdP不支持元数据文件上传,则需要手动配置以下参数:

      • Entity ID:下载的元数据XML中,md:EntityDescriptor元素的entityID属性值。

      • ACS URL:下载的元数据XML中,md:AssertionConsumerService元素的Location属性值。

      • RelayState(可选):如果您的IdP支持设置RelayState参数,您可以将其配置成SSO登录成功后希望跳转到的页面URL。如果不进行配置,SSO登录成功后,将会跳转到阿里云控制台首页。

        说明

        出于安全原因,您只能填写阿里巴巴旗下的域名URL作为RelayState的值,例如:*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com。

后续步骤

在企业IdP中配置阿里云为可信SAML SP后,需要在企业IdP中配置SAML断言属性。更多信息,请参见用户SSO的SAML响应