本文为您介绍如何在亿登IDaaS中配置百度云角色SSO。
操作步骤
1.创建应用
以管理员身份登录亿登 IDaaS,点击 设置 > 应用 > 创建应用 > 应用市场,搜索 百度云-角色SSO,单击添加应用。
2.配置单点登录
2.1 创建应用后,点击 协议端点 页签,找到 IDP Metadata,并点击下载元文件按钮保存到本地,在后续的步骤中用于上传到百度云。
2.2 点击 应用授权 页签,然后点击 添加授权 按钮,根据您的实际情况,给需要使用百度云的组织、组或用户完成授权。
3.使用主账号登录百度智能云,创建角色并分配角色权限。
3.1 登录百度智能云后,按下图标示,点击右上角图像,选择多用户访问控制。
3.2 复制上图中的 账号ID 到电脑记事本中,后续步骤中要用到。
3.3 在多用户访问控制页面中,点击 外部账号接入 > IAM 角色联合 > 身份提供者,输入名称,并上传在2.1步骤中下载的元数据文件。
3.4 复制新创建的身份提供商名称到电脑记事本中,在后续步骤中要用到。
3.5 填写下面的表单项,在策略管理中勾选此角色拥有的策略,创建角色。
3.6 角色创建完成后,复制角色名称到电脑记事本中,在后续步骤中会用到。
4. 在IDaaS侧,点击 协议配置 页签,并滚动到页面的最底部,填写属性扩展。
属性扩展:用于生成登录百度智能云的用户属性,让百度云能识别当前单点登录的用户。
属性扩展必须按下面的格式填写,红色部分是您需要修改的数据:
{
"urn": "yidengtech:idaas:saml:2.0:attribute:extension",
"node": [
{
"attribute-node-attribute": {
"Name": "https://bce.baidu.com/SAML/Attributes/Role",
"NameFormat": "urn:oasis:names:tc:SAML:2.0:attrname-format:basic"
},
"attribute-value-node-value": [
"a61db5273f50xxxxxxxxxxxxxd24f52:role/admin_role,a61db5273f50xxxxxxxxxxxxxd24f52:saml-provider/yidengtech"
]
},
{
"attribute-node-attribute": {
"Name": "https://bce.baidu.com/SAML/Attributes/RoleSessionName",
"NameFormat": "urn:oasis:names:tc:SAML:2.0:attrname-format:basic"
},
"attribute-value-node-value": [
"{applicationAccount}"
]
}
]
}
上面红色部分是您需要修改的数据,格式如下:
{账号ID}:role/{角色名称}, {账号ID}:saml-provider/{身份提供商名称}
账号ID用步骤3.2中复制的值替换,角色名称用步骤3.6中创建的角色名称替换,身份提供商名称用步骤3.4中创建的提供商名称替换。
5.IDP 发起登录
点击 百度云-角色SSO 图标,即可快速登录百度智能云。
