在阿里云访问管理中使用
Last updated
Last updated
Authing SAML Identity Provider 为企业提供了单点登录能力。在阿里云通过设置SSO来实现从企业本地账号系统登录到阿里云,从而实现员工身份在云上和云下的统一管理。
阿里云采用了基于SAML 2.0的身份联盟标准来实现身份系统的互通。
阿里云支持「用户 SSO」和「角色 SSO」,下面分这两种模式进行说明。
先在 Authing 新建一个 SAML Identity Provider 应用。
进入应用控制台 -> 第三方登录 -> SAML IdP 选项卡,点击右侧的「创建 SAML IdP」。
在弹出的窗口中填入应用信息,填写一个二级域名作为 SAML IdP 的云上地址,点击「确定」。
在 AssertionConsumeServiceURL 中输入阿里云的 SAML 断言接收地址
https://signin.aliyun.com/saml/SSO
进入阿里云访问控制 -> 左侧菜单 -> 设置 -> 高级设置
下方提示的「SAML服务提供方元数据URL」右侧,点击链接,下载 SAML SP Metadata,并上传。
在 SAML Response 签名处,上传或输入一对秘钥,并正确选择秘钥算法。
在下方邮箱域替换输入框中输入阿里云用户的邮箱域。
其余配置使用默认即可。
点击「确定」。
在使用方法页面点击「下载」IdP Metadata。
使用你的阿里云账号登录阿里云的控制台。
在你的用户头像上悬停鼠标,出现下拉菜单,点击「访问控制」。
进入左侧菜单 -> 人员管理 -> 用户,点击「新建用户」。
输入用户名称、显示名称,勾选控制台密码登录并点击「确认」。本教程中输入的登录名称是 authing,显示名称也是 authing。
点击左侧菜单 -> 人员管理 -> 用户,在右侧页面的列表中可以看到刚刚添加的用户,记录下用户登录名称(xxx@xxx.onaliyun.com),随后会用到。点击对应用户条目右侧的「添加权限」。
在权限列表中选择需要赋予该账户的权限,本教程选择「AdministratorAccess」最高权限。点击「确定」。
进入左侧菜单 -> SSO 管理,右侧页面点击「用户 SSO」选项卡,在下方 SSO 登录设置处点击「编辑」。
SSO 功能状态选择「开启」。点击「上传文件」,上传刚刚在 Authing 下载的 SAML IdP Metadata。点击「确认」。
在创建用户时,用户邮箱「@」符号之前的部分需要和阿里云中的用户登录名称保持一致。
进入应用控制台 -> 用户中心,点击「创建用户」按钮,填入相关信息,注意邮箱「@」符号之前要填入阿里云中的用户登录名称。点击「创建」。
访问阿里云 RAM 账户登录页,输入刚才在阿里云新建的用户的登录名称,形如:authing@xxx.onaliyun.com。
点击「下一步」,会跳转到 Authing IdP 登录认证页面。
可以选择任意方式进行登录,但是该用户的邮箱名称部分必须和阿里云中用户名称一样。
登录成功后回跳转到阿里云的控制台。