使用流程

1. 在云SSO中獲取服務(wù)提供商（SP）元數(shù)據(jù)。

   您可以在云SSO下載和查看SP元數(shù)據(jù)。具體操作，請(qǐng)參見(jiàn)獲取服務(wù)提供商（SP）元數(shù)據(jù)。

2. 在企業(yè)IdP中配置阿里云為可信SAML SP并配置SAML斷言屬性。

   部分IdP配置完成后，還需要將用戶(hù)分配到應(yīng)用。不同企業(yè)IdP的配置方法不同。具體操作，請(qǐng)參見(jiàn)各企業(yè)IdP的幫助文檔。

3. 在企業(yè)IdP中獲取身份提供商（IdP）的SAML元數(shù)據(jù)。

   您可以在企業(yè)IdP下載SAML元數(shù)據(jù)文檔，不同企業(yè)IdP的獲取方法不同。具體操作，請(qǐng)參見(jiàn)各企業(yè)IdP的幫助文檔。

4. 在云SSO中配置企業(yè)IdP為可信SAML IdP。

   您需要手動(dòng)配置企業(yè)IdP的SAML信息或直接上傳企業(yè)IdP的SAML元數(shù)據(jù)文件。其中手動(dòng)配置僅能配置單點(diǎn)登錄所必須的屬性：Entity ID、登錄地址和簽名證書(shū)。如果您需要配置更多IdP信息，請(qǐng)?jiān)贗dP端生成元數(shù)據(jù)文件并使用上傳元數(shù)據(jù)的方式進(jìn)行配置。

5. 在云SSO中啟用單點(diǎn)登錄。

   具體操作，請(qǐng)參見(jiàn)啟用單點(diǎn)登錄。

6. 通過(guò)SCIM同步用戶(hù)或在云SSO中創(chuàng)建IdP的同名用戶(hù)。

   • 如果IdP中有大量用戶(hù)，且IdP支持SCIM協(xié)議，您可以直接將IdP中的用戶(hù)同步到云SSO。SCIM同步示例，請(qǐng)參見(jiàn)通過(guò)SCIM同步Azure AD用戶(hù)或用戶(hù)組的示例和通過(guò)SCIM同步Okta用戶(hù)或用戶(hù)組的示例。

   • 如果IdP中用戶(hù)較少，您可以直接在云SSO創(chuàng)建IdP的同名用戶(hù)，即將SAML斷言屬性中的NameID值設(shè)置為云SSO用戶(hù)的用戶(hù)名。具體操作，請(qǐng)參見(jiàn)創(chuàng)建用戶(hù)。

7. 使用企業(yè)IdP的用戶(hù)單點(diǎn)登錄到阿里云。

配置示例

• Azure AD與云SSO進(jìn)行單點(diǎn)登錄的示例

• Okta與云SSO進(jìn)行單點(diǎn)登錄的示例

• AD FS與云SSO進(jìn)行單點(diǎn)登錄的示例

• Shibboleth與云SSO進(jìn)行單點(diǎn)登錄的示例

常見(jiàn)問(wèn)題

單點(diǎn)登錄（SSO）常見(jiàn)問(wèn)題