SAML角色SSO概覽
阿里云與企業(yè)進行角色SSO時,阿里云是服務(wù)提供商(SP),而企業(yè)自有的身份管理系統(tǒng)則是身份提供商(IdP)。通過角色SSO,企業(yè)可以在本地IdP中管理員工信息,無需進行阿里云和企業(yè)IdP間的用戶同步,企業(yè)員工將使用指定的RAM角色登錄阿里云。
基本流程
企業(yè)員工可以通過控制臺或程序訪問阿里云。
通過控制臺訪問阿里云
當管理員在完成角色SSO的相關(guān)配置后,企業(yè)員工Alice可以通過如下圖所示的方法登錄到阿里云。
操作步驟:
Alice使用瀏覽器在IdP的登錄頁面中選擇阿里云作為目標服務(wù)。
例如:如果企業(yè)IdP使用AD FS(Microsoft Active Directory Federation Service),則登錄URL為:
https://ADFSServiceName/adfs/ls/IdpInitiatedSignOn.aspx。說明有些IdP會要求用戶先登錄,再選擇代表阿里云的SSO應(yīng)用。
IdP生成一個SAML響應(yīng)并返回給瀏覽器。
瀏覽器重定向到SSO服務(wù)頁面,并轉(zhuǎn)發(fā)SAML響應(yīng)給SSO服務(wù)。
SSO服務(wù)使用SAML響應(yīng)向阿里云STS服務(wù)請求臨時安全憑證,并生成一個可以使用臨時安全憑證登錄阿里云控制臺的URL。
說明如果SAML響應(yīng)中包含映射到多個RAM角色的屬性,系統(tǒng)將會首先提示用戶選擇一個用于訪問阿里云的角色。
SSO服務(wù)將URL返回給瀏覽器。
瀏覽器重定向到該URL,以指定RAM角色登錄到阿里云控制臺。
通過程序訪問阿里云
企業(yè)員工Alice可以通過編寫程序來訪問阿里云,基本流程如下圖所示。
操作步驟:
Alice使用程序向企業(yè)IdP發(fā)起登錄請求。
IdP生成一個SAML響應(yīng),其中包含關(guān)于登錄用戶的SAML斷言,并將此響應(yīng)返回給程序。
程序調(diào)用阿里云STS服務(wù)提供的API AssumeRoleWithSAML,并傳遞以下信息:
阿里云中身份提供商的ARN、要扮演的角色的ARN以及來自企業(yè)IdP的SAML斷言。
STS服務(wù)將校驗SAML斷言并返回臨時安全憑證給程序。
程序使用臨時安全憑證調(diào)用阿里云API。
配置步驟
為了建立阿里云與企業(yè)IdP之間的互信關(guān)系,需要進行阿里云作為SP的SAML配置和企業(yè)IdP的SAML配置,配置完成后才能進行角色SSO。
為了建立阿里云對企業(yè)IdP的信任,需要將企業(yè)IdP配置到阿里云。
更多信息,請參見進行角色SSO時阿里云SP的SAML配置。
企業(yè)需要RAM控制臺或程序創(chuàng)建用于SSO的RAM角色,并授予相關(guān)權(quán)限。
更多信息,請參見創(chuàng)建可信實體為身份提供商的RAM角色。
為了建立企業(yè)IdP對阿里云的信任,需要在企業(yè)IdP中配置阿里云為可信SAML SP并進行SAML斷言屬性的配置。
更多信息,請參見進行角色SSO時企業(yè)IdP的SAML配置。
配置示例
以下為您提供了常見的企業(yè)IdP與阿里云進行角色SSO的配置示例: