阿里云角色SSO
本文為您介紹如何在IDaaS中配置阿里云角色單點(diǎn)登錄。使用角色SSO,您不必為企業(yè)或組織中的每一個(gè)成員都創(chuàng)建一個(gè)RAM用戶。?
操作步驟
一、創(chuàng)建應(yīng)用
選擇IDaaS實(shí)例并在操作區(qū)域下方單擊訪問控制臺(tái)。
前往,搜索阿里云角色SSO應(yīng)用模板。單擊添加應(yīng)用。
確認(rèn)應(yīng)用名稱,單擊立即添加。
?
二、配置應(yīng)用單點(diǎn)登錄
添加應(yīng)用后,將自動(dòng)跳轉(zhuǎn)到應(yīng)用單點(diǎn)登錄配置頁,您將在此處進(jìn)行配置。
輸入阿里云主賬號(hào)ID(賬號(hào)ID可在阿里云控制臺(tái)首頁 - 頭像或賬號(hào)中心獲取)。
填寫您準(zhǔn)備在阿里云創(chuàng)建的身份提供商名稱(只允許英文字母、數(shù)字、特殊字符.-_,不能以特殊字符開頭或結(jié)尾),需與步驟三中的一致。
選擇應(yīng)用賬號(hào)名屬性,用戶進(jìn)行單點(diǎn)登錄時(shí),將以該字段作為主鍵,對應(yīng)至阿里云中的RAM角色,從而實(shí)現(xiàn)在阿里云中的登錄。
如果僅用于測試,建議授權(quán)范圍選擇全員可訪問,以便跳過為IDaaS賬號(hào)分配權(quán)限的步驟。
在應(yīng)用配置信息中,下載IdP 元數(shù)據(jù),保存到電腦中。此文件用于建立阿里云對IDaaS的信任關(guān)系。
在中,單擊添加應(yīng)用賬戶。
選擇需要使用阿里云角色SSO的賬戶,為其添加應(yīng)用賬戶。應(yīng)用賬戶名需要和阿里云角色名稱完全一致。如果一個(gè)IDaaS賬戶對應(yīng)多個(gè)阿里云角色,可以創(chuàng)建多個(gè)應(yīng)用賬戶。
三、在阿里云中配置角色SSO
在左側(cè)導(dǎo)航欄中,單擊SSO管理。
在角色 SSO頁簽下,可查看當(dāng)前SSO登錄設(shè)置相關(guān)信息。
單擊創(chuàng)建身份提供商。
填寫身份提供商名稱(需和步驟二中的身份提供商名稱一致),上傳步驟二中在IDaaS下載的IdP 元數(shù)據(jù),單擊確定,完成身份提供商的創(chuàng)建。
四、在阿里云中配置身份提供商權(quán)限
在左側(cè)導(dǎo)航欄中,單擊。
單擊創(chuàng)建角色,選擇身份提供商。
填寫角色名稱(需和步驟二中的應(yīng)用賬戶名一致),選擇步驟三中創(chuàng)建的身份提供商,按需填寫其他配置,單擊完成。
此時(shí)也完成角色的創(chuàng)建。您可以為您的角色分配權(quán)限,通過該角色單點(diǎn)登錄到阿里云的IDaaS賬戶都會(huì)擁有相同權(quán)限。
五、嘗試SSO
您已經(jīng)可以開始阿里云角色SSO。
使用已擁有阿里云角色SSO應(yīng)用權(quán)限的IDaaS賬戶,登錄到IDaaS應(yīng)用門戶頁,單擊頁面上的圖標(biāo),即可發(fā)起單點(diǎn)登錄。
如果IDaaS賬戶擁有兩個(gè)或以上的應(yīng)用賬戶(阿里云角色),則需要選擇一個(gè)應(yīng)用賬戶進(jìn)行單點(diǎn)登錄。
選擇合適的應(yīng)用賬戶并單擊確定,即以角色的身份單點(diǎn)登錄至阿里云。
??