背景信息

在基于SAML 2.0的SSO流程中，當企業用戶在IdP登錄后，IdP將根據SAML 2.0 HTTP-POST綁定的要求生成包含SAML斷言的認證響應，并由瀏覽器（或程序）自動轉發給阿里云。這個SAML斷言會被用來確認用戶登錄狀態并從中解析出登錄的主體。因此，斷言中必須包含阿里云要求的元素，否則登錄用戶的身份將無法被確認，導致SSO失敗。

SAML響應

請確保您的IdP向阿里云發出符合如下要求的SAML響應，每一個元素都必須要有，否則SSO將會失敗。

<saml2p:Response>
    <saml2:Issuer>...</saml2:Issuer>
    <saml2p:Status>
        ...
    </saml2p:Status>
    <saml2:Assertion>
        <saml2:Issuer>...</saml2:Issuer>
        <ds:Signature>
            ...
        </ds:Signature>
        <saml2:Subject>
            <saml2:NameID>${NameID}</saml2:NameID>
            <saml2:SubjectConfirmation>
                ...
            </saml2:SubjectConfirmation>
        </saml2:Subject>
        <saml2:Conditions>
            <saml2:AudienceRestriction>
                <saml2:Audience>${Audience}</saml2:Audience>
            </saml2:AudienceRestriction>
        </saml2:Conditions>
        <saml2:AuthnStatement>
            ...
        </saml2:AuthnStatement>
    </saml2:Assertion>
</saml2p:Response>

SAML斷言中的元素說明

• SAML 2.0協議的通用元素

  關于SAML 2.0協議的更多內容，請參見SAML 2.0。

  元素	說明
  Issuer	Issuer的值必須與您在阿里云用戶SSO設置中上傳的元數據文件中的EntityID匹配。
  Signature	阿里云要求SAML斷言必須被簽名以確保沒有篡改，Signature及其包含的元素必須包含簽名值、簽名算法等信息。
  Subject	Subject必須包含以下元素： 有且僅有一個NameID元素，是阿里云賬號下的某個RAM用戶的身份標識。詳情請參見本文下面所述的NameID元素和NameID示例。 有且僅有一個SubjectConfirmation元素，其中包含一個SubjectConfirmationData元素。SubjectConfirmationData必須有以下兩個屬性： NotOnOrAfter：規定SAML斷言的有效期。 Recipient：阿里云通過檢查該元素的值來確保阿里云是該斷言的目標接收方，其取值必須為https://signin.aliyun.com/saml/SSO。 以下是一個Subject元素的示例： <Subject> <NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">Alice@example.onaliyun.com</NameID> <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <SubjectConfirmationData NotOnOrAfter="2019-01-01T00:01:00.000Z" Recipient="https://signin.aliyun.com/saml/SSO"/> </SubjectConfirmation> </Subject>
  Conditions	在Conditions元素中，必須包含一個AudienceRestriction元素，其中可包含一至多個Audience元素，但必須有一個Audience元素的取值為 https://signin.aliyun.com/${accountId}/saml/SSO，${accountId}為阿里云賬號ID。 以下是一個Conditions元素的示例： <Conditions> <AudienceRestriction> <Audience>https://signin.aliyun.com/${accountId}/saml/SSO</Audience> </AudienceRestriction> </Conditions>

• NameID元素

  阿里云需要通過UPN（User Principal Name）來定位一個RAM用戶，所以要求企業IdP生成的SAML斷言包含用戶的UPN。阿里云通過解析SAML斷言中的NameID元素，來匹配RAM用戶的UPN從而實現用戶SSO。

  因此，在配置IdP頒發的SAML斷言時，需要將對應于RAM用戶UPN的字段映射為SAML斷言中的NameID元素。

  NameID元素必須是以下幾種：

  • 使用域別名作為NameID元素的后綴，即<username>@<domain_alias>。其中<username>為RAM用戶的用戶名，<domain_alias>為域別名。關于如何設置域別名，請參見創建并驗證域別名。

  • 使用輔助域名作為NameID元素的后綴，即<username>@<auxiliary_domain>。其中<username>為RAM用戶的用戶名，<auxiliary_domain> 為輔助域名。關于如何設置輔助域名，請參見進行用戶SSO時阿里云SP的SAML配置。

    說明

    如果您同時設置了域別名和輔助域名，輔助域名將不會生效。此時，NameID元素只能使用域別名作為后綴。

  • 使用默認域名作為NameID元素的后綴，即<username>@<default_domain>。其中<username>為RAM用戶的用戶名，<default_domain>為默認域名。關于如何設置默認域名，請參見查看和修改默認域名。

    說明

    即使設置了域別名或輔助域名，仍可以使用默認域名作為NameID的后綴。

• NameID示例

  RAM用戶名為Alice，默認域名為example.onaliyun.com。

  • 如果設置了域別名為example.com，SAML斷言中的NameID取值為Alice@example.onaliyun.com或Alice@example.com。

  • 如果沒有設置域別名，設置了輔助域名為example.net，SAML斷言中的NameID取值為Alice@example.onaliyun.com或Alice@example.net。

  • 如果設置了域別名為example.com后，又設置了輔助域名為example.net，SAML斷言中的NameID取值為Alice@example.onaliyun.com或Alice@example.com。注意此時輔助域名不生效。

相關文檔

如何在瀏覽器中查看SAML響應？