本文为您介绍如何在亿登IDaaS中配置阿里云角色SSO。使用角色SSO,无须为每个访问阿里云的成员创建RAM用户。
操作步骤
1.创建应用
以管理员身份登录亿登 IDaaS,点击 设置 > 应用 > 创建应用 > 应用市场,搜索 阿里云-角色SSO,单击添加应用。
特别说明:IDaaS 在应用市场中预集成了一批常见的企业应用,并对应用做了配置优化,用户可以在应用市场中快速添加。如果应用支持标准协议,也可以在标准协议的模板中添加。
2.配置单点登录
2.1 创建应用后,点击 协议端点 页签,找到 IDP Metadata,并点击下载元文件按钮保存到本地,在后续的步骤中用于上传到阿里云。
2.2 点击 应用授权 页签,然后点击 添加授权 按钮,根据您的实际情况,给需要使用阿里云的用户完成授权。
3.登录阿里云,创建角色并分配角色权限。
3.1 登录阿里云后,按下图标示,点击右上角图像,选择访问控制。
3.2 点击SSO管理 > 角色 SSO > 创建身份提供商,上传在2.1步骤中下载的元数据到阿里云RAM。
3.3 复制身份提供商的ARN到电脑记事本中,在后续步骤中要用到。
3.4 按下述步骤创建角色,并给角色授权。
图1:根据信任主体类型创建角色
图2:添加角色主体
图3:根据角色名称创建角色
图4:给新增角色授权
3.5 角色创建完成后,复制角色的ARN到电脑记事本中,在后续步骤中会用到。
4. 在IDaaS侧,点击 协议配置 页签,并滚动到页面的最底部,填写属性扩展。
属性扩展:用于生成登录阿里云的用户属性,让阿里云能识别当前单点登录的用户。
属性扩展必须按下面的格式填写,红色部分是您需要修改的数据,把3.5中复制的角色ARN和3.3中复制的身份提供商ARN拼接在一起,中间用英文逗号隔开,角色ARN在前,身份提供商ARN在后。
{
"urn": "yidengtech:idaas:saml:2.0:attribute:extension",
"node": [
{
"attribute-node-attribute": {
"Name": "https://www.aliyun.com/SAML-Role/Attributes/Role",
"NameFormat": "urn:oasis:names:tc:SAML:2.0:attrname-format:basic"
},
"attribute-value-node-value": [
"acs:ram::1798512025579623:role/admin-role,acs:ram::1798512025579623:saml-provider/yidengtech"
]
},
{
"attribute-node-attribute": {
"Name": "https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName",
"NameFormat": "urn:oasis:names:tc:SAML:2.0:attrname-format:basic"
},
"attribute-value-node-value": [
"{applicationAccount}"
]
}
]
}
5.返回IDaaS主页,点击 阿里云-角色SSO 图标,即可快速登录阿里云。
