本文以在Windows Server 2012 R2 ECS實例上搭建的AD FS為例,為您介紹如何配置AD FS與阿里云,從而實現角色SSO登錄。其中,AD FS是身份提供商(IdP),阿里云是服務提供商(SP)。
背景信息
企業使用Active Directory (AD)進行員工管理,并通過AD FS配置包括阿里云在內的企業應用。AD管理員通過員工的用戶組來管理員工對阿里云賬號的訪問權限。在本示例中,企業擁有兩個阿里云賬號(Account1和Account2),要管理的權限為Admin和Reader,企業員工用戶名為Alice,該用戶所在的AD用戶組為Aliyun-<account-id>-ADFS-Admin和Aliyun-<account-id>-ADFS-Reader,企業要實現從AD FS到Account1和Account2的角色SSO。
<account-id>為云賬號Account1或Account2的賬號ID,因此用戶Alice所在的AD用戶組共4個,分別對應兩個云賬號中的Admin和Reader權限。
本文中涉及到Microsoft Active Directory配置的部分屬于建議,僅用于幫助理解阿里云SSO登錄的端到端配置流程,阿里云不提供Microsoft Active Directory配置的咨詢服務,關于如何搭建AD FS,請參見使用Windows實例搭建AD域。
基本流程
員工進行控制臺登錄的基本流程如下圖所示。
AD管理員在完成角色聯合登錄的配置后,企業員工(Alice)可以通過如圖所示的方法登錄到阿里云控制臺。更多信息,請參見SAML角色SSO概覽。
上述過程表示,用戶登錄時,企業會進行統一登錄認證,無需用戶提供在阿里云上的任何用戶名和密碼。
步驟一:在阿里云中將AD FS配置為可信SAML IdP
在阿里云RAM控制臺,創建身份提供商(ADFS),并配置相應的元數據。AD FS的元數據URL為
https://<ADFS-server>/federationmetadata/2007-06/federationmetadata.xml。說明<ADFS-server>是您的AD FS服務器域名或IP地址。
具體操作,請參見進行角色SSO時阿里云SP的SAML配置。
說明如果元數據文件超過大小限制,您可以嘗試刪除
<fed:ClaimTypesRequested>和<fed:ClaimTypesOffered>中的所有內容。在阿里云賬號Account1中創建兩個可信實體類型為身份提供商的RAM角色(ADFS-Admin和ADFS-Reader),選擇剛剛創建的ADFS作為可信身份提供商,并對兩個角色分別授予
AdministratorAccess和ReadOnlyAccess權限。具體操作,請參見創建可信實體為身份提供商的RAM角色。
使用同樣的方法,在Account2中創建與Account1中同名的身份提供商(ADFS)和角色(ADFS-Admin和ADFS-Reader),并為兩個角色分別授予
AdministratorAccess和ReadOnlyAccess權限。
配置完成后,企業的阿里云賬號將信任企業AD FS發來的SAML請求中的用戶身份和角色信息。
步驟二:在AD FS中將阿里云配置為可信SAML SP
在AD FS中,SAML SP被稱作信賴方(Relying Party)。設置阿里云作為AD FS的可信SP的操作步驟如下。
在服務器管理器的工具菜單中選擇AD FS管理。
在AD FS管理工具中添加信賴方信任。
為新創建的信賴方設置阿里云的角色SSO的SAML SP元數據,元數據URL為
https://signin.aliyun.com/saml-role/sp-metadata.xml。
按照向導完成配置。
步驟三:為阿里云SP配置SAML斷言屬性
阿里云需要AD FS在SAML斷言中提供NameID、Role和RoleSessionName屬性。AD FS中通過頒發轉換規則來實現這一功能。
NameID配置Active Directory中的Windows賬戶名為SAML斷言中的
NameID,其操作步驟如下。為信賴方編輯聲明規則。
添加頒發轉換規則。
說明頒發轉換規則(Issuance Transform Rules):指如何將一個已知的用戶屬性,經過轉換后,頒發為SAML斷言中的屬性。由于我們要將用戶在AD中的Windows賬戶名頒發為
NameID,因此需要添加一個新的規則。聲明規則模板選擇轉換傳入聲明。
使用如下配置規則,并單擊完成。
聲明規則名稱:NameID
傳入聲明類型:Windows賬戶名
傳出聲明類型:名稱ID
傳出名稱ID格式:永久標識符
傳遞所有聲明值:勾選
配置完成后,AD FS將發送阿里云需要的
NameID格式。<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"> YourDomain\rolessouser </NameID>
RoleSessionName配置Active Directory中的UPN為SAML斷言中的
RoleSessionName,其操作步驟如下。單擊添加轉換聲明規則。
從聲明規則模板中選擇以聲明方式發送LDAP特性。
使用如下配置規則,并單擊完成。
聲明規則名稱:RoleSessionName
特性存儲:Active Directory
LDAP 特性列:User-Principal-Name(您也可以根據具體需求選擇其他屬性,例如email。)
傳出聲明類型:
https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName
配置完成后,AD FS將發送阿里云需要的
RoleSessionName格式。<Attribute Name="https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName"> <AttributeValue>rolessouser@example.com<AttributeValue> </Attribute>Role通過自定義規則將特定的用戶所屬組的信息轉化成阿里云上的角色名稱,其操作步驟如下。
單擊添加轉換聲明規則。
從聲明規則模板中選擇使用自定義規則發送聲明,單擊下一步。
使用如下配置規則,并單擊完成。
聲明規則名稱:Get AD Groups
自定義規則:
c:[Type =="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory",types = ("http://temp/variable"), query = ";tokenGroups;{0}", param =c.Value);
說明這個規則獲取用戶在AD中所屬組的信息,保存在中間變量http://temp/variable中。
單擊添加轉換聲明規則。
重復以上步驟,并單擊完成。
聲明規則名稱:Role
自定義規則:
c:[Type == "http://temp/variable", Value =~ "(?i)^Aliyun-([\d]+)"] => issue(Type = "https://www.aliyun.com/SAML-Role/Attributes/Role",Value = RegExReplace(c.Value, "Aliyun-([\d]+)-(.+)", "acs:ram::$1:role/$2,acs:ram::$1:saml-provider/<provider-name>"));說明<provider-name>為步驟一:在阿里云中將AD FS配置為可信SAML IdP中創建的身份提供商名稱。本示例中為ADFS。
根據這個規則,如果用戶所屬的AD組中包含Aliyun-<account-id>-ADFS-Admin或Aliyun-<account-id>-ADFS-Reader,則將生成一個SAML屬性,映射到阿里云上的角色ADFS-Admin或ADFS-Reader。
配置完成后,IdP將返回阿里云所需要的SAML斷言片段,如下所示。
<Attribute Name="https://www.aliyun.com/SAML-Role/Attributes/Role"> <AttributeValue>acs:ram::<account-id>:role/ADFS-Admin,acs:ram::<account-id>:saml-provider/<provider-name></AttributeValue> </Attribute>
驗證結果
登錄AD FS SSO門戶(URL:
https://<ADFS-server>/adfs/ls/IdpInitiatedSignOn.aspx),選擇阿里云應用,輸入用戶名密碼。說明<ADFS-server>是您的AD FS服務器域名或IP地址。如果網頁不可用,可以通過PowerShell開啟:
Set-AdfsProperties -EnableIdpInitiatedSignonPage $True。
在阿里云角色SSO頁面,選擇一個您要登錄的角色,單擊登錄。
說明如果您的用戶在AD中只加入了一個組,則在阿里云上只會對應一個角色,該用戶將直接登錄,無需選擇角色。
