日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云SSO 操作指南 集成外部身份 單點登錄 管理單點登錄

管理單點登錄

更新時間:
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業(yè)務造成影響,請務必仔細閱讀。

云SSO支持基于SAML 2.0的單點登錄(SSO登錄)。阿里云是服務提供商(SP),而企業(yè)自有的身份管理系統(tǒng)則是身份提供商(IdP)。通過SSO登錄,企業(yè)員工可以使用IdP中的用戶身份直接登錄云SSO。本文為您介紹云SSO側的相關單點登錄配置。

管理身份提供商(IdP)信息

您需要配置身份提供商(IdP)信息,然后開啟單點登錄開關,才能正常使用單點登錄功能。支持手動配置和上傳元數據文件兩種方式配置身份提供商信息。其中手動配置僅能配置單點登錄所必須的屬性:Entity ID、登錄地址和SAML簽名證書。如果您需要配置更多IdP信息,請在IdP端生成元數據文件并使用上傳元數據的方式進行配置。

配置身份提供商(IdP)信息

您需要先配置身份提供商信息,然后才能啟用單點登錄。

  1. 登錄云SSO控制臺

  2. 在左側導航欄,單擊設置

  3. SSO登錄身份提供商(IdP)信息區(qū)域,單擊配置身份提供商信息

  4. 配置身份提供商信息對話框,選擇上傳元數據文檔手動配置,然后配置身份提供商信息。

    以下兩種方式您可以任選其一進行配置,相關元數據文件或配置信息請從身份提供商處獲取。

    • 上傳元數據文檔

      單擊上傳文件,上傳身份提供商元數據文件。

    • 手動配置

      • Entity ID:身份提供商標識。

      • 登錄地址:身份提供商登錄地址。

      • 證書:身份提供商用于SAML響應簽名的證書,支持PEM格式的X509證書。您可以單擊上傳證書,上傳身份提供商的證書。

  5. 單擊確定

更新身份提供商(IdP)信息

當單點登錄處于開啟或禁用狀態(tài)時,您都可以更新身份提供商信息。但在開啟狀態(tài)下更新時,如果新配置的身份提供商信息與原有的信息不匹配,可能會導致用戶單點登錄失敗,請謹慎操作。

  1. SSO登錄身份提供商(IdP)信息區(qū)域,單擊配置身份提供商信息

  2. 配置身份提供商信息對話框,選擇配置方式,然后修改配置信息、重新上傳證書或元數據文件等,最后單擊確定

清空身份提供商(IdP)信息

當單點登錄處于禁用狀態(tài)時,您可以清空身份提供商信息。單點登錄處于開啟狀態(tài)時,不能執(zhí)行該操作。

警告

清空身份提供商信息后,您將無法進行單點登錄。

  1. SSO登錄身份提供商(IdP)信息區(qū)域,單擊清空身份提供商信息

  2. 清空身份提供商信息對話框,單擊確定

輪轉SAML簽名證書

身份提供商(IdP)SAML簽名證書建議定期輪換,您可以在IdP舊證書過期之前,提前上傳新證書。當用戶進行單點登錄時,云SSO會分別使用新舊兩個證書驗證SAML簽名,只要有一個驗證通過,此次登錄就是可信的。證書輪轉一段時間,觀察并確認新證書生效,舊證書不再使用之后,您可以刪除舊證書。

警告

刪除正在使用的SAML簽名證書,會導致單點登錄失敗,請謹慎操作。

  1. SSO登錄身份提供商(IdP)信息區(qū)域,單擊SAML簽名證書右側的管理

  2. 證書對話框,輪轉SAML簽名證書。

    1. 單擊上傳新的證書,上傳從企業(yè)IdP獲取的新證書。

    2. 確認企業(yè)IdP開始使用新證書對SAML響應進行簽名,之后嘗試單點登錄到云SSO用戶門戶,確保可以正常登錄。

    3. 證書輪轉一段時間,觀察并確認新證書生效,舊證書不再使用之后,您可以單擊舊證書操作列的刪除,刪除舊證書。

    4. 單擊確定,完成SAML簽名證書輪轉。

管理服務提供商(SP)信息

獲取服務提供商(SP)元數據

您在外部IdP中配置單點登錄時需要使用SP元數據文檔,您可以在SSO登錄服務提供商(SP)信息區(qū)域,單擊下載SP元數據文檔,下載SP元數據文檔。同時,您也可以查看或復制ACS URLEntity ID,直接用于外部IdP的手動配置。

說明

如您啟用了加速域名功能,在外部IdP中配置單點登錄時可以使用ACS URL(加速)。更多信息,請參見云SSO海外訪問加速

管理服務提供商(SP)可信CA簽發(fā)證書

云SSO提供云SSO自簽名證書和可信CA簽發(fā)證書兩種。默認使用云SSO自簽名證書,如果企業(yè)對SP簽名證書有可信CA簽發(fā)要求的,可以申請可信CA簽發(fā)證書。

重要

可信CA簽發(fā)證書目前處于邀測階段,請先聯系阿里云的服務經理,申請體驗資格后才能進行試用。

可信CA簽發(fā)證書支持的算法

SP元數據中包含有兩個證書,分別是簽名證書和斷言加密證書。其支持的算法如下:

可信CA簽發(fā)證書有效期

可信CA簽發(fā)證書有效期為1年,即每年需要輪轉一次。具體的到期時間,請以控制臺界面顯示為準。

啟用可信CA簽發(fā)證書

SSO登錄服務提供商(SP)信息區(qū)域,打開元數據使用可信CA簽發(fā)證書開關,即可啟用可信CA簽發(fā)證書。

啟用可信CA簽發(fā)證書后,會自動禁用云SSO自簽名證書。

輪轉可信CA簽發(fā)證書

在證書過期前的80天進入輪轉期,云SSO控制臺將提示您更換證書,直至證書失效。在輪轉期內,新舊證書都有效,建議您在輪轉期內盡早更新證書。

  1. SSO登錄服務提供商(SP)信息區(qū)域,下載使用最新可信CA簽發(fā)證書的SP元數據文檔。

  2. 在企業(yè)IdP中,同時配置新舊兩個證書。

  3. 在企業(yè)IdP中,嘗試只使用新證書,驗證企業(yè)IdP與云SSO的單點登錄是否正常。

    如果正常,您就可以嘗試刪除舊證書。當然,您也可以保留舊證書,不影響單點登錄。

啟用或禁用單點登錄

啟用單點登錄

當您完成身份提供商信息配置后,就可以啟用單點登錄。

說明

啟用單點登錄后,將自動禁用用戶名和密碼登錄。

  1. SSO登錄區(qū)域,打開單點登錄開關。

  2. 啟用SSO登錄對話框,單擊確定

禁用單點登錄

說明

禁用單點登錄后,將自動啟用用戶名和密碼登錄。

  1. SSO登錄區(qū)域,關閉單點登錄開關。

  2. 禁用SSO登錄對話框,單擊確定