步驟一：在阿里云獲取SAML服務(wù)提供商元數(shù)據(jù)

1. 使用阿里云賬號登錄RAM控制臺。

2. 在左側(cè)導(dǎo)航欄，選擇集成管理 > SSO管理。

3. 在SSO管理頁面，單擊用戶SSO頁簽。

4. 在SSO登錄設(shè)置區(qū)域，復(fù)制SAML服務(wù)提供商元數(shù)據(jù)URL。

5. 在新的瀏覽器窗口中打開復(fù)制的鏈接，將元數(shù)據(jù)XML文件另存到本地。

   說明

   元數(shù)據(jù)XML文件保存了阿里云作為一個SAML服務(wù)提供商的訪問信息。您需要記錄該文件中的entityID和Location的值，以便后續(xù)在Azure AD的配置中使用。

步驟二：在Azure AD中創(chuàng)建應(yīng)用

1. 管理員用戶登錄Azure門戶。

2. 在主頁左上角，單擊圖標(biāo)。

3. 在左側(cè)導(dǎo)航欄，選擇Azure Active Directory > 企業(yè)應(yīng)用程序 > 所有應(yīng)用程序。

4. 單擊新建應(yīng)用程序。

5. 在瀏覽Azure AD庫頁面，單擊創(chuàng)建你自己的應(yīng)用程序。

6. 在創(chuàng)建你自己的應(yīng)用程序頁面，輸入應(yīng)用名稱（例如：AliyunSSODemo），并選擇集成庫中未發(fā)現(xiàn)的任何其他應(yīng)用程序（非庫），然后單擊創(chuàng)建。

步驟三：在Azure AD中配置SAML

1. 在AliyunSSODemo頁面，單擊左側(cè)導(dǎo)航欄的單一登錄。

2. 在選擇單一登錄方法頁面，單擊SAML。

3. 在設(shè)置SAML單一登錄頁面進行以下配置。

   1. 在頁面左上角，單擊上載元數(shù)據(jù)文件，選擇文件后，單擊添加。

      說明

      此處上傳步驟一：在阿里云獲取SAML服務(wù)提供商元數(shù)據(jù)中獲取的XML文件。

   2. 在基本SAML配置頁面，配置以下信息，然后單擊保存。

      • 標(biāo)識符（實體 ID）：從上一步的元數(shù)據(jù)文件中自動讀取entityID的值。

      • 回復(fù) URL（斷言使用者服務(wù) URL）：從上一步的元數(shù)據(jù)文件中自動讀取Location的值。

      • 中繼狀態(tài)：用來配置用戶SSO登錄成功后跳轉(zhuǎn)到的阿里云頁面。

        說明

        出于安全原因，您只能填寫阿里巴巴旗下的域名URL作為中繼狀態(tài)的值，例如：*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com，否則配置無效。若不配置，默認(rèn)跳轉(zhuǎn)到阿里云控制臺首頁。

   3. 在SAML簽名證書區(qū)域，單擊下載，獲取聯(lián)合元數(shù)據(jù)XML。

步驟四：在Azure AD分配用戶

1. 在Azure AD主頁左上角，單擊圖標(biāo)。

2. 在左側(cè)導(dǎo)航欄，選擇Azure Active Directory > 企業(yè)應(yīng)用程序 > 所有應(yīng)用程序。

3. 在名稱列，單擊AliyunSSODemo。

4. 在左側(cè)導(dǎo)航欄，單擊用戶和組。

5. 單擊左上角的添加用戶/組。

6. 單擊用戶，從用戶列表中選擇用戶（u2），然后單擊選擇。

7. 單擊分配。

步驟五：在阿里云創(chuàng)建RAM用戶

1. 在RAM控制臺的左側(cè)導(dǎo)航欄，選擇身份管理 > 用戶。

2. 在用戶頁面，單擊創(chuàng)建用戶。

3. 在創(chuàng)建用戶頁面的用戶賬號信息區(qū)域，輸入登錄名稱和顯示名稱。

   請確保RAM用戶登錄名稱前綴與Azure AD中的用戶名前綴保持一致。本示例中為u2。

4. 在訪問方式區(qū)域，選擇訪問方式。

5. 單擊確定。

步驟六：在阿里云開啟用戶SSO

1. 在RAM控制臺的左側(cè)導(dǎo)航欄，選擇集成管理 > SSO管理。

2. 在SSO管理頁面，單擊用戶SSO頁簽。

3. 在SSO登錄設(shè)置區(qū)域，單擊編輯。

4. 在編輯SSO登錄設(shè)置面板的SSO功能狀態(tài)區(qū)域，單擊開啟。

   說明

   用戶SSO是一個全局功能，開啟后，所有通過控制臺登錄的RAM用戶都需要使用SSO登錄。如果您是通過RAM用戶配置的，請先保留為關(guān)閉狀態(tài)，您需要先完成RAM用戶的創(chuàng)建，以免配置錯誤導(dǎo)致自己無法登錄。您也可以通過阿里云賬號進行配置來規(guī)避此問題。

5. 在元數(shù)據(jù)文檔區(qū)域，單擊上傳文件，上傳從步驟三：在Azure AD中配置SAML中獲取的XML文件。

6. 在輔助域名區(qū)域，單擊開啟，并配置輔助域名為Azure AD中的用戶名Email后綴。

   例如：本示例中Azure AD用戶（u2）的完整用戶名為u2@test.onmicrosoft.com，則此處填寫test.onmicrosoft.com。

7. 單擊確定。

驗證結(jié)果

完成SSO登錄配置后，您可以從阿里云或Azure AD發(fā)起SSO登錄。

• 從阿里云側(cè)發(fā)起登錄

  1. 在RAM控制臺的概覽頁，復(fù)制RAM用戶的登錄地址。

  2. 將鼠標(biāo)懸停在右上角頭像的位置，單擊退出登錄或使用新的瀏覽器打開復(fù)制的RAM用戶登錄地址。

  3. 單擊使用企業(yè)賬號登錄，系統(tǒng)會自動跳轉(zhuǎn)到Azure AD的登錄頁面。

  4. 使用用戶（u2）的用戶名和密碼登錄。

     系統(tǒng)將自動SSO登錄并重定向到您指定的中繼狀態(tài)頁面。如果未指定中繼狀態(tài)或超出允許范圍，則系統(tǒng)會訪問以下阿里云控制臺首頁。

     

• 從Azure AD側(cè)發(fā)起登錄

  1. 獲取用戶訪問URL

     1. 管理員用戶登錄Azure門戶。

     2. 在主頁左上角，單擊圖標(biāo)。

     3. 在左側(cè)導(dǎo)航欄，選擇Azure Active Directory > 企業(yè)應(yīng)用程序 > 所有應(yīng)用程序。

     4. 單擊應(yīng)用程序AliyunSSODemo。

     5. 在左側(cè)導(dǎo)航欄，單擊屬性，獲取用戶訪問URL。

        用戶訪問URL是用戶直接從其瀏覽器訪問此應(yīng)用程序的鏈接。

        

  2. 用戶（u2）從管理員用戶處獲取上述用戶訪問URL在瀏覽器中輸入該URL，使用自己的賬號登錄。

     系統(tǒng)將自動SSO登錄并重定向到您指定的中繼狀態(tài)頁面。如果未指定中繼狀態(tài)或超出允許范圍，則系統(tǒng)會訪問以下阿里云控制臺首頁。