本文介紹通過基于SAML 2.0的用戶SSO,配置相應元數據來建立阿里云對企業身份提供商(IdP)的信任,實現企業IdP通過用戶SSO登錄阿里云。
背景信息
設置默認域名、域別名或輔助域名可以簡化SAML SSO的配置流程。關于如何設置阿里云賬號的默認域名或域別名,請參見查看和修改默認域名或創建并驗證域別名。
操作步驟
阿里云賬號登錄RAM控制臺。
在左側導航欄,選擇。
單擊用戶SSO頁簽,查看當前SSO登錄設置相關信息。
單擊編輯,配置SSO登錄設置相關信息。
SSO功能狀態:選擇開啟或關閉。
說明該功能只對阿里云賬號下的所有RAM用戶生效,不會影響阿里云賬號的登錄。該設置不影響使用AccessKey發起的OpenAPI調用。
此功能默認為關閉,此時RAM用戶可以使用密碼登錄,所有SSO設置不生效。
如果選擇開啟此功能,此時RAM用戶密碼登錄方式將會被關閉,統一跳轉到企業IdP登錄服務進行身份認證。如果再次關閉,用戶密碼登錄方式自動恢復。
元數據文檔:單擊上傳文件,上傳企業IdP提供的元數據文檔。
說明元數據文檔由企業IdP提供,一般為XML格式,包含IdP的登錄服務地址以及X.509公鑰證書(用于驗證IdP所頒發的SAML斷言的有效性)。
輔助域名(可選):開啟輔助域名開關,可以設置一個輔助域名。
如果設置了輔助域名,SAML斷言中的
NameID元素將可以使用此輔助域名作為后綴。如果沒有設置輔助域名,SAML斷言中的
NameID元素將只能使用當前賬號的默認域名或域別名作為后綴。
關于
NameID元素的取值,請參見用戶SSO的SAML響應。說明如果您同時設置了域別名和輔助域名,輔助域名將不會生效。此時,
NameID元素只能使用域別名或默認域名作為后綴。
單擊確定。
后續步驟
完成SAML配置后,選擇以下一種方法創建與企業IdP相匹配的RAM用戶:
登錄RAM控制臺手動創建與企業IdP匹配的RAM用戶,詳情請參見創建RAM用戶。
使用RAM SDK編寫程序或阿里云CLI來創建RAM用戶,詳情請參見CreateUser - 創建RAM用戶。