用戶SSO概覽
阿里云與企業(yè)進行用戶SSO時,阿里云是服務(wù)提供商(SP),而企業(yè)自有的身份管理系統(tǒng)則是身份提供商(IdP)。通過用戶SSO,企業(yè)員工在登錄后,將以RAM用戶訪問阿里云。
基本流程
當管理員在完成用戶SSO的相關(guān)配置后,企業(yè)員工Alice可以通過如下圖所示的方法登錄到阿里云。
Alice使用瀏覽器登錄阿里云,阿里云將SAML認證請求返回給瀏覽器。
瀏覽器向IdP轉(zhuǎn)發(fā)SAML認證請求。
IdP提示Alice登錄,并在Alice登錄成功后生成SAML響應(yīng)返回給瀏覽器。
瀏覽器將SAML響應(yīng)轉(zhuǎn)發(fā)給SSO服務(wù)。
SSO服務(wù)通過SAML互信配置,驗證SAML響應(yīng)的數(shù)字簽名來判斷SAML斷言的真?zhèn)危⑼ㄟ^SAML斷言的
NameID元素值,匹配到對應(yīng)阿里云賬號中的RAM用戶。SSO服務(wù)向瀏覽器返回控制臺的URL。
瀏覽器重定向到阿里云控制臺。
說明在第1步中,企業(yè)員工從阿里云發(fā)起登錄并不是必須的。企業(yè)員工也可以在企業(yè)自有IdP的登錄頁直接單擊登錄到阿里云的鏈接,向企業(yè)IdP發(fā)出登錄到阿里云的SAML認證請求。
配置步驟
為了建立阿里云與企業(yè)IdP之間的互信關(guān)系,需要進行阿里云作為SP的SAML配置和企業(yè)IdP的SAML配置,配置完成后才能進行用戶SSO。
為了建立阿里云對企業(yè)IdP的信任,需要將企業(yè)IdP配置到阿里云。
更多信息,請參見進行用戶SSO時阿里云SP的SAML配置。
為了建立企業(yè)IdP對阿里云的信任,需要在企業(yè)IdP中配置阿里云為可信SAML SP并進行SAML斷言屬性的配置。
更多信息,請參見進行用戶SSO時企業(yè)IdP的SAML配置。
企業(yè)IdP和阿里云均配置完成后,企業(yè)需要使用SDK、CLI或登錄到RAM控制臺創(chuàng)建與企業(yè)IdP匹配的RAM用戶。
更多信息,請參見創(chuàng)建RAM用戶。
配置示例
以下為您提供了常見的企業(yè)IdP與阿里云進行用戶SSO的配置示例: