SAML 2.0 SSO配置
單點(diǎn)登錄流程需要IDaaS與應(yīng)用之間進(jìn)行交互,所以需要在兩端進(jìn)行配置。?
當(dāng)前文檔以SAML 2.0標(biāo)準(zhǔn)協(xié)議為例進(jìn)行配置說(shuō)明。
若您希望了解IDaaS中支持的SSO協(xié)議,請(qǐng)前往:2. 標(biāo)準(zhǔn)協(xié)議。
IDaaS 側(cè)配置
快捷方式:上傳應(yīng)用配置文件
部分應(yīng)用在SSO配置頁(yè)面,能夠?qū)⑴渲眯畔?span id="z68uejxpaoma" class="help-letter-space">metadata一鍵下載,并在IDaaS中上傳;或提供公開接口,允許IDaaS將配置信息拉取過來(lái)。
IDaaS即可獲取到配置SSO的所有信息,預(yù)填充進(jìn)表單。無(wú)需管理員手動(dòng)配置,確認(rèn)保存即可完成。
IDaaS 側(cè)配置字段說(shuō)明
? | 字段 | 說(shuō)明 | 舉例 |
基本配置(必填) | 單點(diǎn)登錄地址 ACS URL | 應(yīng)用的SAML SSO核心地址,與IDaaS交互處理單點(diǎn)登錄請(qǐng)求。 | https://signin.example.com/1021*****4813/saml/SSO |
應(yīng)用唯一標(biāo)識(shí) SP Entity ID | 應(yīng)用在IDaaS中的標(biāo)識(shí),通常在應(yīng)用側(cè)獲取,格式通常為應(yīng)用URI。若應(yīng)用側(cè)沒有要求,直接復(fù)用單點(diǎn)登錄地址即可。 | https://signin.example.com/1021*****4813/saml/SSO | |
應(yīng)用賬戶 | SAML協(xié)議中將應(yīng)用賬戶稱為NameID。請(qǐng)參考:SAML應(yīng)用賬戶配置。 | 選擇:使用IDaaS賬戶名(Username) | |
授權(quán)范圍 | 請(qǐng)參考:單點(diǎn)登錄通用說(shuō)明。 | 選擇:全員可訪問 | |
高級(jí)配置(選填) | 默認(rèn)跳轉(zhuǎn)地址 Default RelayState | IDP發(fā)起SSO登錄成功后,應(yīng)用自動(dòng)跳轉(zhuǎn)的地址。在SAML Response中會(huì)在 | |
NameID格式NameIDFormat | SAML Response中指定賬戶標(biāo)識(shí) | 選擇:1.1 Unspecified | |
Binding格式 Binding |
| 選擇: | |
是否對(duì)斷言簽名 Sign Assertion | IDaaS會(huì)為所有SAML 請(qǐng)求簽名,暫不支持修改。 | - | |
簽名算法 Signing Algorithm | 簽名使用的非對(duì)稱算法,當(dāng)前僅支持RSA-SHA256算法,一般無(wú)需修改。 | 選擇:RSA-SHA256 | |
斷言屬性 Attribute Statements | 在 SAML Response中,可以將額外用戶字段(例如郵箱、顯示名等)返回給應(yīng)用解析。參考SAML Attribute Statements值填寫規(guī)范。 | - | |
SSO發(fā)起方 | 用戶訪問由應(yīng)用發(fā)起,還是支持門戶發(fā)起。 | 只允許應(yīng)用發(fā)起 | |
登錄發(fā)起地址 | 若SSO發(fā)起方設(shè)置為支持門戶和應(yīng)用發(fā)起,可填寫登錄發(fā)起地址。門戶頁(yè)訪問應(yīng)用時(shí),IDaaS會(huì)跳轉(zhuǎn)到本地址,應(yīng)即刻自動(dòng)向IDaaS發(fā)起 SAMLRequest登錄請(qǐng)求。 | - |
應(yīng)用側(cè)配置
快捷方式:上傳IDaaS配置文件
為了便于應(yīng)用側(cè)配置,IDaaS支持將配置信息一鍵下載。
部分應(yīng)用配置SSO時(shí),支持metadata信息上傳。可將IDaaS配置文件上傳,或?qū)?span id="z68uejxpaoma" class="help-letter-space">metadata地址填寫至應(yīng)用側(cè)。無(wú)需手動(dòng)配置,即可完成對(duì)接。
應(yīng)用側(cè)配置字段說(shuō)明
應(yīng)用側(cè)需要配置IDaaS的信息,完成對(duì)接。?
IDaaS會(huì)在單點(diǎn)登錄配置頁(yè)中,集中展示所有應(yīng)用側(cè)可能需要使用的信息,方便配置。具體字段說(shuō)明如下:
字段名稱 | 說(shuō)明 | 示例 |
IDP唯一標(biāo)識(shí) IDP Entity ID | IDaaS在應(yīng)用中的標(biāo)識(shí)。可能需要將值填寫在應(yīng)用側(cè)SSO配置中。 | https://xxxxx.aliyunidaas.com |
IDP SSO地址 IDP-init SSO URL | SAML協(xié)議支持SP發(fā)起單點(diǎn)登錄,可能需要填寫此地址在應(yīng)用配置中。 | https://xxxxx.aliyunidaas.com.cn/saml/idp/saml1 |
單點(diǎn)退出地址 SLO URL | SAML協(xié)議支持單點(diǎn)登出。若希望實(shí)現(xiàn)此功能,需要填寫此地址在應(yīng)用配置中。 | - |
公鑰證書 Certificate | IDaaS發(fā)送的單點(diǎn)登錄結(jié)果,會(huì)自動(dòng)攜帶一個(gè)電子簽名。應(yīng)用可以使用這里的公鑰,對(duì)結(jié)果驗(yàn)簽,確認(rèn)結(jié)果是IDaaS發(fā)出,確保安全。 | -----BEGIN CERTIFICATE----- MIIDEjCCAfqgAwIBAgIHAYnNmX60izANBgkqhkiG9w0BAQsFADApMRowGAYDVQQD..... ? |