Okta與云SSO進行單點登錄的示例
本文為您提供Okta與云SSO進行單點登錄(SSO登錄)的示例。
背景信息
假設企業在本地IdP Okta中有大量用戶,且已在阿里云資源目錄(RD)中搭建了多賬號體系結構。企業希望經過配置,使Okta的用戶通過SSO登錄的方式直接訪問資源目錄指定成員賬號中的指定資源。
步驟一:在云SSO獲取服務提供商(SP)元數據
登錄云SSO控制臺。
在左側導航欄,單擊設置。
在SSO登錄區域,復制服務提供商(SP)的ACS URL和Entity ID。
步驟二:在Okta創建應用程序
登錄Okta門戶。
單擊頁面右上方的賬號圖標,然后單擊Your Org。
在左側導航欄,選擇。
在Applications頁面,單擊Browse App Catalog。
搜索并找到名為Alibaba Cloud CloudSSO的應用程序。
打開應用程序介紹頁面后,單擊Add integration,添加應用程序。
配置應用程序信息。
在General Settings頁面,輸入應用名稱CloudSSODemo,然后單擊Done。
在Sign on頁面的settings區域,單擊Edit。
Default RelayState:用來配置SSO登錄成功后跳轉到的阿里云頁面。如果不配置,默認跳轉到云SSO用戶門戶。
說明出于安全原因,您只能輸入*.alibabacloudsso.com域名的URL,否則配置無效。
ACS URL:從步驟一:在云SSO獲取服務提供商(SP)元數據獲取的ACS URL值。
Entity ID:從步驟一:在云SSO獲取服務提供商(SP)元數據獲取的Entity ID值。
Application username:選擇Okta username。
單擊Save。
步驟三:在Okta獲取身份提供商(IdP)元數據
在應用程序CloudSSODemo詳情頁,單擊Sign On頁簽。
在SAML Signing Certificates區域,鼠標右鍵單擊Actions下拉列表,選擇View IdP metadata,將IdP元數據另存到本地。
步驟四:在Okta為應用程序分配用戶
如果Okta中沒有用戶,您需要先創建用戶。具體操作,請參見創建Okta用戶。
步驟五:在云SSO啟用SSO登錄
在云SSO的左側導航欄,單擊設置。
在SSO登錄區域,單擊配置身份提供商信息。
在配置身份提供商信息對話框,選擇上傳元數據文檔。
單擊上傳文件,上傳從步驟三:在Okta獲取身份提供商(IdP)元數據獲取的IdP元數據文件。
打開SSO登錄開關,啟用SSO登錄。
說明啟用SSO登錄后,用戶名和密碼登錄將自動禁用,即云SSO用戶將不能通過用戶名和密碼登錄。而且,SSO登錄是一個全局功能,啟用后,所有用戶都需要SSO登錄。
步驟六:同步用戶或創建用戶
從Okta同步用戶到云SSO,或者在云SSO創建同名用戶。具體如下:
從Okta同步用戶到云SSO(推薦):適用于Okta中擁有大量用戶的情況。具體操作,請參見通過SCIM同步Okta用戶或用戶組的示例。
在云SSO創建同名用戶:適用于Okta中僅有少量用戶的情況。具體操作,請參見創建用戶。
說明用戶名會用于用戶登錄。當您進行SSO登錄時,云SSO的用戶名應該與Okta中用于SSO登錄的字段保持一致。更多信息,請參見步驟二:在Okta創建應用程序。
(可選)步驟七:為用戶授權
如果您計劃用戶SSO登錄后訪問資源目錄指定成員賬號中的指定資源,您還需要創建訪問配置,并為用戶在RD賬號上授權。
驗證結果
完成上述配置后,您可以從阿里云或Okta發起SSO登錄。
