進(jìn)行用戶SSO時(shí)企業(yè)IdP的SAML配置
本文主要介紹企業(yè)在使用用戶SSO時(shí),如何在企業(yè)身份提供商(IdP)中配置阿里云為可信SAML服務(wù)提供商(SP)。
操作步驟
從阿里云獲取SAML服務(wù)提供商元數(shù)據(jù)URL。
使用阿里云賬號(hào)登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇。
在SSO管理頁面,單擊用戶SSO頁簽。
在SSO登錄設(shè)置區(qū)域,查看當(dāng)前阿里云賬號(hào)的SAML服務(wù)提供商元數(shù)據(jù)URL。
在企業(yè)IdP中創(chuàng)建一個(gè)SAML SP,并根據(jù)實(shí)際情況選擇下面任意一種方式配置阿里云為信賴方。
直接使用步驟1所述的阿里云元數(shù)據(jù)URL進(jìn)行配置。
如果您的IdP不支持URL配置,您可以通過步驟1所述URL下載元數(shù)據(jù)文件并上傳至您的IdP。
如果您的IdP不支持元數(shù)據(jù)文件上傳,則需要手動(dòng)配置以下參數(shù):
Entity ID:下載的元數(shù)據(jù)XML中,md:EntityDescriptor元素的entityID屬性值。ACS URL:下載的元數(shù)據(jù)XML中,md:AssertionConsumerService元素的Location屬性值。RelayState(可選):如果您的IdP支持設(shè)置RelayState參數(shù),您可以將其配置成SSO登錄成功后希望跳轉(zhuǎn)到的頁面URL。如果不進(jìn)行配置,SSO登錄成功后,將會(huì)跳轉(zhuǎn)到阿里云控制臺(tái)首頁。說明出于安全原因,您只能填寫阿里巴巴旗下的域名URL作為
RelayState的值,例如:*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com。
后續(xù)步驟
在企業(yè)IdP中配置阿里云為可信SAML SP后,需要在企業(yè)IdP中配置SAML斷言屬性。更多信息,請(qǐng)參見用戶SSO的SAML響應(yīng)。