本文为您介绍如何在亿登IDaaS中配置百度云用户SSO。
操作步骤
1.创建应用
以管理员身份登录亿登 IDaaS,点击 设置 > 应用 > 创建应用 > 应用市场,搜索 百度云-用户SSO 并添加应用。
2.配置单点登录
2.1 创建应用后,点击 协议端点 页签,找到 IDP Metadata,并点击下载元文件按钮保存到本地,在后续步骤中用于上传到百度云。
2.2 点击 应用授权 页签,然后点击 添加授权 按钮,根据您的实际情况,给需要访问百度云的组织、组或用户添加授权。
3.使用主账号登录百度智能云
3.1 登录百度云后,点击右上角用户图标,进入多用户访问控制。
3.2 复制上图中的 账号ID 到电脑记事本中,后续步骤中要用到。
3.3 点击 外部账号接入 > IAM 用户联合,打开功能状态,上传在步骤2.1中下载的元数据。
3.4 复制上图中的【SP元数据】URL 到电脑记事本中,在后续步骤中要用到。
3.5 点击 用户管理 > 子用户 > 创建子用户,并按要求填写表单,用户名推荐设置为和IDaaS中的账号一致。
4.在IDaaS侧,把步骤3.3中复制的【SP元数据】URL 粘贴到标号2的输入框中,然后点击解析按钮,即可自动填充 SP Entity ID 和 断言消费地址。
5.点击 应用账号 页签,然后点击添加账号,选择要登录百度云的用户,并按下面的要求填写应用账号和用户属性。
应用账号:填写百度智能云子用户的用户名,可选项,推荐不配置。
用户属性:用于生成登录百度智能云的用户属性,让百度智能云能识别当前单点登录的用户,填写到用户属性中的完整数据如下:
{
"urn": "yidengtech:idaas:saml:2.0:application:account:attribute:extension",
"node": [
{
"attribute-node-attribute": {
"Name": "https://bce.baidu.com/SAML/Attributes/Subuser",
"NameFormat": "urn:oasis:names:tc:SAML:2.0:attrname-format:basic"
},
"attribute-value-node-value": [
"a61db5273f50xxxxxxxxxxxxxd24f52:subuser-name/liuyuting, a61db5273f50xxxxxxxxxxxxxd24f52:saml-provider/yidengtech"
]
}
]
}
上面红色部分是您需要修改的数据,格式如下:
{账号ID}:subuser-name/{子用户的用户名}, {账号ID}:saml-provider/yidengtech
账号ID请用步骤3.2中复制的值替换,子用户的用户名请用步骤3.5中创建的子用户的用户名。
6.单点登录
6.1 IDP 发起
点击 百度云-用户联合 图标,即可快速登录百度智能云。
6.2 SP 发起
在浏览器中访问 子用户登录链接,打开子用户登录页。此链接在 多用户访问控制 > 用户管理 > 子用户 页面中获取,具体请参考下图1。
图1:获取 子用户登录链接
图2:单击 登录 会跳转到IDaaS认证后登录百度智能云。
