操作步驟

一、創(chuàng)建應(yīng)用

1. 登錄IDaaS管理控制臺(tái)。

2. 選擇IDaaS實(shí)例并在操作區(qū)域下方單擊訪問(wèn)控制臺(tái)。

3. 前往應(yīng)用 > 添加應(yīng)用 > 應(yīng)用市場(chǎng)，搜索到阿里云用戶 SSO應(yīng)用模板。單擊添加應(yīng)用。

   

4. 確認(rèn)應(yīng)用名稱，即可立即添加。

   ?

二、配置應(yīng)用單點(diǎn)登錄

1. 添加應(yīng)用后，將自動(dòng)跳轉(zhuǎn)到應(yīng)用單點(diǎn)登錄配置頁(yè)，您將在此處進(jìn)行配置。

   

2. 輸入阿里云主賬號(hào)ID，可單擊阿里云控制臺(tái)首頁(yè) > 賬號(hào)中心頁(yè)面右上角頭像處獲取。選擇應(yīng)用賬號(hào)名屬性，用戶進(jìn)行單點(diǎn)登錄時(shí)，將以該字段作為主鍵，對(duì)應(yīng)至阿里云中的 RAM用戶，從而實(shí)現(xiàn)在阿里云中的登錄。如果僅用于測(cè)試，建議授權(quán)范圍選擇全員可訪問(wèn)，暫時(shí)跳過(guò)為IDaaS賬號(hào)分配權(quán)限的步驟。

   

3. 在應(yīng)用配置信息中，下載IdP 元數(shù)據(jù)，保存到電腦中。此文件用于建立阿里云對(duì)IDaaS的信任關(guān)系。

   

4. 如果您IDaaS賬戶名與RAM用戶名（ RAM子賬戶前綴）一致，應(yīng)用賬戶處可選擇IDaaS賬戶名 。

   

   如果您IDaaS賬戶名與RAM用戶名不一致， 應(yīng)用賬戶處選擇應(yīng)用賬戶 ，在應(yīng)用賬戶界面綁定對(duì)應(yīng)的賬戶關(guān)系，選擇單點(diǎn)登錄的IDaaS賬戶，填寫RAM用戶名前綴。

   

三、在阿里云中配置用戶SSO

1. 登錄阿里云RAM控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄中，單擊SSO管理。

3. 在用戶 SSO頁(yè)簽下，可查看當(dāng)前SSO登錄設(shè)置相關(guān)信息。

4. 單擊編輯，開(kāi)啟SSO 功能狀態(tài)，上傳步驟二中在IDaaS下載的IdP 元數(shù)據(jù)，無(wú)需開(kāi)啟輔助域名。

5. 單擊確定，即可完成配置。

   

四、在阿里云中配置子用戶權(quán)限（可選）

您可能擁有存量的RAM用戶，或希望將IDaaS中賬戶同步至阿里云（詳見(jiàn)文檔：賬戶同步-事件回調(diào)），此時(shí)請(qǐng)按需在左側(cè)菜單欄的用戶中為用戶分配權(quán)限，以便用戶擁有恰當(dāng)?shù)臋?quán)限訪問(wèn)阿里云的資源。如果僅為了測(cè)試單點(diǎn)登錄能力，請(qǐng)忽略此步驟。

五、嘗試SSO

1. 從IDaaS或阿里云發(fā)起用戶SSO登錄。

   • 從IDaaS發(fā)起（IdP發(fā)起）：使用已擁有阿里云用戶SSO應(yīng)用權(quán)限的IDaaS賬戶，登錄到IDaaS應(yīng)用門戶頁(yè)，單擊頁(yè)面上的圖標(biāo)，即可發(fā)起單點(diǎn)登錄至阿里云。

   • 從阿里云發(fā)起（SP發(fā)起）：使用匿名瀏覽器，打開(kāi)阿里云登錄頁(yè)，單擊下方RAM用戶登錄，輸入RAM用戶名并單擊下一步。

2. 此時(shí)將出現(xiàn)提示頁(yè)面，單擊使用企業(yè)賬號(hào)登錄或復(fù)制登錄鏈接，如果您已登錄IDaaS應(yīng)用門戶，則可直接登錄至阿里云；否則將跳轉(zhuǎn)至IDaaS的登錄頁(yè)，在IDaaS中完成登錄后自動(dòng)完成阿里云的登錄。

?