51CTO 博客地址: https://blog.51cto.com/14669127
Azure培训视频地址: https://space.bilibili.com/2000820534
单一登录是一种身份验证方法,允许用户使用一组凭据登录到多个独立的软件系统。 使用 SSO 意味着用户无需登录使用的每个应用程序。 使用 SSO,用户可以访问全部所需的应用程序,而无需使用不同的凭据进行身份验证。
此流程图可帮助你确定哪种 SSO 方法最适合你的情况。
如果企业拥有一个阿里云账号和一个Azure AD租户,在Azure AD租户中,您有一个管理员用户(已授予全局管理员权限)和一个企业员工用户(u2)。您希望经过配置,使企业员工用户(u2)在登录Azure AD后,通过用户SSO访问阿里云,该如何实现呢?
本文将做相关的介绍说明:
· 在阿里云获取SAML服务提供商元数据
· 在Azure AD中创建应用
· 在Azure AD中配置SAML
· 在Azure AD分配用户
· 在阿里云创建RAM用户
· 在阿里云开启用户SSO
· 验证结果
在阿里云获取SAML服务提供商元数据的操作步骤:
1. 使用阿里云账号登录RAM控制台。
2. 在左侧导航栏,选择集成管理 > SSO管理。
3. 在SSO管理页面,单击用户SSO页签。
4. 在SSO登录设置区域,复制SAML服务提供商元数据URL。
5. 在新的浏览器窗口中打开复制的链接,将元数据XML文件另存到本地
说明:元数据XML文件保存了阿里云作为一个SAML服务提供商的访问信息。您需要记录该文件中的entityID和Location的值,以便后续在Azure AD的配置中使用
在Azure AD中创建应用的操作步骤:
选择Azure Active Directory > 企业应用程序 > 所有应用程序,选择“新建应用程序”,在应用程序页面选择“Integrate any other application you don't find in the gallery (Non-gallery)”如下所示:
在Azure AD中配置SAML的操作步骤如下所示:
1. 单击左侧导航栏的单一登录。
2. 在选择单一登录方法页面,单击SAML。
3. 在设置SAML单一登录页面进行以下配置。
a. 在页面左上角,单击上载元数据文件,选择文件后,单击添加。
说明:此处上传步骤一:在阿里云获取SAML服务提供商元数据中获取的XML文件。
b. 在基本SAML配置页面,配置以下信息,然后单击保存。
§ 标识符(实体 ID):从上一步的元数据文件中自动读取entityID的值。
§ 回复 URL(断言使用者服务 URL):从上一步的元数据文件中自动读取Location的值。
§ 中继状态:用来配置用户SSO登录成功后跳转到的阿里云页面。
说明:出于安全原因,您只能填写阿里巴巴旗下的域名URL作为中继状态的值,例如:*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com,否则配置无效。若不配置,默认跳转到阿里云控制台首页。
c. 在SAML签名证书区域,单击下载,获取联合元数据XML。
在Azure AD分配用户的具体操作步骤:
在Azure Active Directory->企业应用程序->所有应用程序,单击SSO Demo,然后在左侧导航中单击“用户和组”,然后添加用户user2,如下所示:
在阿里云创建RAM用户的操作步骤:
1. 在RAM控制台的左侧导航栏,选择身份管理 > 用户。
2. 在用户页面,单击创建用户。
3. 在创建用户页面的用户账号信息区域,输入登录名称和显示名称。
请确保RAM用户登录名称前缀与Azure AD中的用户名前缀保持一致。本示例中为user2。
4. 在访问方式区域,选择访问方式。
5. 单击确定。
在阿里云中启用用户SSO的操作步骤:
1. 在RAM控制台的左侧导航栏,选择集成管理 > SSO管理。
2. 在SSO管理页面,单击用户SSO页签。
3. 在SSO登录设置区域,单击编辑。
4. 在编辑SSO登录设置面板的SSO功能状态区域,单击开启。
说明:用户SSO是一个全局功能,开启后,所有通过控制台登录的RAM用户都需要使用SSO登录。如果您是通过RAM用户配置的,请先保留为关闭状态,您需要先完成RAM用户的创建,以免配置错误导致自己无法登录。您也可以通过阿里云账号进行配置来规避此问题。
5. 在元数据文档区域,单击上传文件,上传从步骤三:在Azure AD中配置SAML中获取的XML文件。
6. 在辅助域名区域,单击开启,并配置辅助域名为Azure AD中的用户名Email后缀。
例如:本示例中Azure AD用户(u2)的完整用户名为[email protected],则此处填写contoso.onmicrosoft.com。
7. 单击确定。
配置完成之后,就可以验证SSO登录是否正常了,感谢大家的阅读,若配置中遇到问题,欢迎线下交流。
标签:AD,登录,用户,SSO,Azure,单击 From: https://blog.51cto.com/u_14669127/7628483