单点登录概述
云SSO支持基于SAML 2.0的单点登录(SSO登录)。阿里云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过SSO登录,企业员工可以使用IdP中的用户身份直接登录云SSO。云SSO可以一次性配置企业身份管理系统与阿里云的SSO登录,配置方式非常简单。
使用流程
在云SSO中获取服务提供商(SP)元数据。
您可以在云SSO下载和查看SP元数据。具体操作,请参见获取服务提供商(SP)元数据。
在企业IdP中配置阿里云为可信SAML SP并配置SAML断言属性。
部分IdP配置完成后,还需要将用户分配到应用。不同企业IdP的配置方法不同。具体操作,请参见各企业IdP的帮助文档。
在企业IdP中获取身份提供商(IdP)的SAML元数据。
您可以在企业IdP下载SAML元数据文档,不同企业IdP的获取方法不同。具体操作,请参见各企业IdP的帮助文档。
在云SSO中配置企业IdP为可信SAML IdP。
您需要手动配置企业IdP的SAML信息或直接上传企业IdP的SAML元数据文件。其中手动配置仅能配置单点登录所必须的属性:Entity ID、登录地址和签名证书。如果您需要配置更多IdP信息,请在IdP端生成元数据文件并使用上传元数据的方式进行配置。
在云SSO中启用单点登录。
具体操作,请参见启用单点登录。
通过SCIM同步用户或在云SSO中创建IdP的同名用户。
如果IdP中有大量用户,且IdP支持SCIM协议,您可以直接将IdP中的用户同步到云SSO。SCIM同步示例,请参见通过SCIM同步Azure AD用户或用户组的示例和通过SCIM同步Okta用户或用户组的示例。
如果IdP中用户较少,您可以直接在云SSO创建IdP的同名用户,即将SAML断言属性中的
NameID
值设置为云SSO用户的用户名。具体操作,请参见创建用户。
使用企业IdP的用户单点登录到阿里云。
配置示例
常见问题
- 本页导读 (1)