日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云SSO 操作指南 集成外部身份 單點登錄 單點登錄示例 Azure AD與云SSO進行單點登錄的示例

Azure AD與云SSO進行單點登錄的示例

更新時間:
我的收藏

本文為您提供Azure AD(Azure Active Directory)與云SSO進行單點登錄(SSO登錄)的示例。

背景信息

假設企業在本地IdP Azure AD中有大量用戶,且已在阿里云資源目錄(RD)中搭建了多賬號體系結構。企業希望經過配置,使Azure AD的用戶通過SSO登錄的方式直接訪問資源目錄指定成員賬號中的指定資源。

Azure AD中的所有配置操作需要擁有全局管理員權限的管理員用戶執行。關于如何在Azure AD中創建用戶及授權為管理員的操作,請參見Azure AD文檔

準備工作

配置SSO登錄前,您需要完成以下工作:

  1. 從Azure AD同步用戶到云SSO,或者在云SSO創建同名用戶。

    • 從Azure AD同步用戶到云SSO(推薦):適用于Azure AD中擁有大量用戶的情況。具體操作,請參見通過SCIM同步Azure AD用戶或用戶組的示例

    • 在云SSO創建同名用戶:適用于Azure AD中僅有少量用戶的情況。具體操作,請參見創建用戶

      說明

      用戶名會用于用戶登錄。當您進行SSO單點登錄時,云SSO的用戶名應該與Azure AD中用于單點登錄的字段保持一致。更多信息,請參見步驟三:在Azure AD中配置SAML

  2. 在云SSO創建訪問配置,定義權限策略。

    具體操作,請參見創建訪問配置

  3. 為用戶在RD賬號上授權。

    具體操作,請參見在RD賬號上授權

步驟一:在云SSO獲取服務提供商元數據

  1. 登錄云SSO控制臺

  2. 在左側導航欄,單擊設置

  3. SSO登錄區域,下載服務提供商(SP)元數據文檔。

(可選)步驟二:在Azure AD中創建應用程序

說明

如果您已完成了SCIM同步配置,則請跳過該步,直接使用SCIM同步時使用的應用程序。

  1. 管理員用戶登錄Azure門戶

  2. 在主頁左上角,單擊SSO_AAD_icon圖標。

  3. 在左側導航欄,選擇Azure Active Directory > 企業應用程序 > 所有應用程序

  4. 單擊新建應用程序

  5. 瀏覽Azure AD庫頁面,單擊創建你自己的應用程序

  6. 創建你自己的應用程序頁面,輸入應用程序名稱(例如:CloudSSODemo),并選擇集成未在庫中找到的任何其他應用程序(非庫),然后單擊創建

步驟三:在Azure AD中配置SAML

  1. CloudSSODemo頁面,單擊左側導航欄的單一登錄

  2. 選擇單一登錄方法頁面,單擊SAML

  3. 設置SAML單一登錄頁面進行以下配置。

    1. 在頁面左上角,單擊上載元數據文件,然后選擇從步驟一獲取的SP元數據文檔,最后單擊添加

    2. 基本SAML配置頁面,配置以下信息,然后單擊保存

      • 標識符(實體 ID):必填項,SP元數據文檔導入后,該值會自動讀取。

        說明

        如無法自動讀取,請從云SSO的SSO登錄配置頁面復制Entity ID的取值。

      • 回復 URL(斷言使用者服務 URL):必填項,SP元數據文檔導入后,該值會自動讀取。

        說明

        如無法自動讀取,請從云SSO的SSO登錄配置頁面復制ACS URL的取值。

      • 中繼狀態:可選項,用來配置SSO登錄成功后跳轉到的阿里云頁面。如果不配置,默認跳轉到云SSO用戶門戶。

        說明

        出于安全原因,您只能輸入*.alibabacloudsso.com域名的URL,否則配置無效。

    3. 用戶屬性和聲明區域,單擊編輯,將唯一用戶標識符(名稱 ID)的值設置為user.userprincipalname或其他能夠唯一標識用戶的字段。

      說明

      • 您可以設置任意能夠唯一標識用戶的字段作為SAML斷言中NameID的值,常見的有user.userprincipalnameuser.mail等。由于云SSO需要傳入的NameID值要與云SSO的用戶名一致,因此您應該在云SSO中根據該字段值創建用戶,以確保SSO登錄能夠成功。

      • 如果您同時配置了SCIM同步,您需要使用同一個字段(例如:user.userprincipalname)配置SCIM的userName屬性。

    4. SAML簽名證書區域,單擊下載,獲取聯合元數據XML

(可選)步驟四:在Azure AD分配用戶

說明

如果您已完成了SCIM同步配置,則請跳過該步。

  1. 在Azure AD主頁左上角,單擊SSO_AAD_icon圖標。

  2. 在左側導航欄,選擇Azure Active Directory > 企業應用程序 > 所有應用程序

  3. 名稱列,單擊CloudSSODemo

  4. 在左側導航欄,單擊用戶和組

  5. 單擊左上角的添加用戶/組

  6. 選擇用戶。

  7. 單擊分配

步驟五:在云SSO啟用SSO登錄

  1. 在云SSO的左側導航欄,單擊設置

  2. SSO登錄區域,單擊配置身份提供商信息

  3. 配置身份提供商信息對話框,選擇上傳元數據文檔

  4. 單擊上傳文件,上傳從步驟三獲取的IdP元數據文檔。

  5. 打開SSO登錄開關,啟用SSO登錄。

    說明

    啟用SSO登錄后,用戶名和密碼登錄將自動禁用,即云SSO用戶將不能通過用戶名和密碼登錄。而且,SSO登錄是一個全局功能,啟用后,所有用戶都需要SSO登錄。

驗證結果

完成SSO登錄配置后,您可以從阿里云或Azure AD發起SSO登錄。

  • 從阿里云發起SSO登錄

    1. 云SSO控制臺概覽頁,復制用戶登錄地址。

    2. 使用新的瀏覽器打開復制的用戶登錄地址。

    3. 單擊跳轉,系統會自動跳轉到Azure AD的登錄頁面。云SSO登錄跳轉

    4. 使用Azure AD用戶名和密碼登錄。

      系統將自動SSO登錄并重定向到您指定的中繼狀態頁面。如果未指定中繼狀態或超出允許范圍,則系統會訪問下圖所示的云SSO用戶門戶。

    5. 以RAM角色登錄頁簽,單擊目標RD賬號權限列的顯示詳情

      RD賬號列表

    6. 在權限面板,單擊目標權限操作列的登錄

    7. 訪問RD賬號中有權限的資源。

  • 從Azure AD發起SSO登錄

    1. 獲取用戶訪問URL

      1. 管理員用戶登錄Azure門戶

      2. 單擊主頁的SSO_AAD_icon圖標。

      3. 在左側導航欄,選擇Azure Active Directory > 企業應用程序 > 所有應用程序

      4. 單擊應用程序CloudSSODemo

      5. 在左側導航欄,單擊屬性,獲取用戶訪問URL

        用戶訪問URL是用戶直接從其瀏覽器訪問此應用程序的鏈接。

    2. 用戶從管理員處獲取上述用戶訪問URL,然后在瀏覽器中輸入該URL,使用自己的用戶名和密碼登錄。

      系統將自動SSO登錄并重定向到您指定的中繼狀態頁面。如果未指定中繼狀態或超出允許范圍,則系統會訪問云SSO用戶門戶。

    3. 以RAM角色登錄頁簽,單擊目標RD賬號權限列的顯示詳情

      RD賬號列表

    4. 在權限面板,單擊目標權限操作列的登錄

    5. 訪問RD賬號中有權限的資源。

相關文檔