本文為您介紹如何在IDaaS中配置阿里云角色單點登錄。使用角色SSO,您不必為企業或組織中的每一個成員都創建一個RAM用戶。?
操作步驟
一、創建應用
登錄IDaaS管理控制臺。
選擇IDaaS實例并在操作區域下方單擊訪問控制臺。
前往,搜索阿里云角色SSO應用模板。單擊添加應用。
確認應用名稱,單擊立即添加。
?
二、配置應用單點登錄
添加應用后,將自動跳轉到應用單點登錄配置頁,您將在此處進行配置。
輸入阿里云主賬號ID(賬號ID可在阿里云控制臺首頁 - 頭像或賬號中心獲取)。
填寫您準備在阿里云創建的身份提供商名稱(只允許英文字母、數字、特殊字符.-_,不能以特殊字符開頭或結尾),需與步驟三中的一致。
選擇應用賬號名屬性,用戶進行單點登錄時,將以該字段作為主鍵,對應至阿里云中的RAM角色,從而實現在阿里云中的登錄。
如果僅用于測試,建議授權范圍選擇全員可訪問,以便跳過為IDaaS賬號分配權限的步驟。
在應用配置信息中,下載IdP 元數據,保存到電腦中。此文件用于建立阿里云對IDaaS的信任關系。
在中,單擊添加應用賬戶。
選擇需要使用阿里云角色SSO的賬戶,為其添加應用賬戶。應用賬戶名需要和阿里云角色名稱完全一致。如果一個IDaaS賬戶對應多個阿里云角色,可以創建多個應用賬戶。
三、在阿里云中配置角色SSO
登錄阿里云 RAM控制臺。
在左側導航欄中,單擊SSO管理。
在角色 SSO頁簽下,可查看當前SSO登錄設置相關信息。
單擊創建身份提供商。
填寫身份提供商名稱(需和步驟二中的身份提供商名稱一致),上傳步驟二中在IDaaS下載的IdP 元數據,單擊確定,完成身份提供商的創建。
四、在阿里云中配置身份提供商權限
在左側導航欄中,單擊。
單擊創建角色,選擇身份提供商。
填寫角色名稱(需和步驟二中的應用賬戶名一致),選擇步驟三中創建的身份提供商,按需填寫其他配置,單擊完成。
此時也完成角色的創建。您可以為您的角色分配權限,通過該角色單點登錄到阿里云的IDaaS賬戶都會擁有相同權限。
五、嘗試SSO
您已經可以開始阿里云角色SSO。
使用已擁有阿里云角色SSO應用權限的IDaaS賬戶,登錄到IDaaS應用門戶頁,單擊頁面上的圖標,即可發起單點登錄。
如果IDaaS賬戶擁有兩個或以上的應用賬戶(阿里云角色),則需要選擇一個應用賬戶進行單點登錄。
選擇合適的應用賬戶并單擊確定,即以角色的身份單點登錄至阿里云。
??