51CTO 博客地址: https://blog.51cto.com/14669127

Azure培训视频地址: https://space.bilibili.com/2000820534

单一登录是一种身份验证方法,允许用户使用一组凭据登录到多个独立的软件系统。 使用 SSO 意味着用户无需登录使用的每个应用程序。 使用 SSO,用户可以访问全部所需的应用程序,而无需使用不同的凭据进行身份验证。

此流程图可帮助你确定哪种 SSO 方法最适合你的情况。

Azure解决方案:使用Azure AD配置用户SSO的操作过程_阿里

如果企业拥有一个阿里云账号和一个Azure AD租户,在Azure AD租户中,您有一个管理员用户(已授予全局管理员权限)和一个企业员工用户(u2)。您希望经过配置,使企业员工用户(u2)在登录Azure AD后,通过用户SSO访问阿里云,该如何实现呢?

本文将做相关的介绍说明:

·       在阿里云获取SAML服务提供商元数据

·       在Azure AD中创建应用

·       在Azure AD中配置SAML

·       在Azure AD分配用户

·       在阿里云创建RAM用户

·       在阿里云开启用户SSO

·       验证结果

在阿里云获取SAML服务提供商元数据的操作步骤:

1.    使用阿里云账号登录RAM控制台

2.    在左侧导航栏,选择集成管理 > SSO管理

3.    在SSO管理页面,单击用户SSO页签。

4.    在SSO登录设置区域,复制SAML服务提供商元数据URL

5.    在新的浏览器窗口中打开复制的链接,将元数据XML文件另存到本地

说明:元数据XML文件保存了阿里云作为一个SAML服务提供商的访问信息。您需要记录该文件中的entityIDLocation的值,以便后续在Azure AD的配置中使用

在Azure AD中创建应用的操作步骤:

选择Azure Active Directory > 企业应用程序 > 所有应用程序,选择“新建应用程序”,在应用程序页面选择“Integrate any other application you don't find in the gallery (Non-gallery)”如下所示:

Azure解决方案:使用Azure AD配置用户SSO的操作过程_阿里_02

在Azure AD中配置SAML的操作步骤如下所示:

1.    单击左侧导航栏的单一登录

2.    在选择单一登录方法页面,单击SAML

Azure解决方案:使用Azure AD配置用户SSO的操作过程_SSO_03

3.    在设置SAML单一登录页面进行以下配置。

a.     在页面左上角,单击上载元数据文件,选择文件后,单击添加

说明:此处上传步骤一:在阿里云获取SAML服务提供商元数据中获取的XML文件。

b.    在基本SAML配置页面,配置以下信息,然后单击保存

§  标识符(实体 ID):从上一步的元数据文件中自动读取entityID的值。

§  回复 URL(断言使用者服务 URL):从上一步的元数据文件中自动读取Location的值。

§  中继状态:用来配置用户SSO登录成功后跳转到的阿里云页面。

说明出于安全原因,您只能填写阿里巴巴旗下的域名URL作为中继状态的值,例如:*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com,否则配置无效。若不配置,默认跳转到阿里云控制台首页。

c.     在SAML签名证书区域,单击下载,获取联合元数据XML

Azure解决方案:使用Azure AD配置用户SSO的操作过程_AD_04

在Azure AD分配用户的具体操作步骤:

在Azure Active Directory->企业应用程序->所有应用程序,单击SSO Demo,然后在左侧导航中单击“用户和组”,然后添加用户user2,如下所示:

Azure解决方案:使用Azure AD配置用户SSO的操作过程_阿里_05


在阿里云创建RAM用户的操作步骤:

1.    在RAM控制台的左侧导航栏,选择身份管理 > 用户

2.    在用户页面,单击创建用户

3.    在创建用户页面的用户账号信息区域,输入登录名称显示名称

请确保RAM用户登录名称前缀与Azure AD中的用户名前缀保持一致。本示例中为user2。

4.    在访问方式区域,选择访问方式。

5.    单击确定

在阿里云中启用用户SSO的操作步骤:

1.    在RAM控制台的左侧导航栏,选择集成管理 > SSO管理

2.    在SSO管理页面,单击用户SSO页签。

3.    在SSO登录设置区域,单击编辑

4.    在编辑SSO登录设置面板的SSO功能状态区域,单击开启

说明:用户SSO是一个全局功能,开启后,所有通过控制台登录的RAM用户都需要使用SSO登录。如果您是通过RAM用户配置的,请先保留为关闭状态,您需要先完成RAM用户的创建,以免配置错误导致自己无法登录。您也可以通过阿里云账号进行配置来规避此问题。

5.    在元数据文档区域,单击上传文件,上传从步骤三:在Azure AD中配置SAML中获取的XML文件。

6.    在辅助域名区域,单击开启,并配置辅助域名为Azure AD中的用户名Email后缀。

例如:本示例中Azure AD用户(u2)的完整用户名为user2@contoso.onmicrosoft.com,则此处填写contoso.onmicrosoft.com。

7.    单击确定

配置完成之后,就可以验证SSO登录是否正常了,感谢大家的阅读,若配置中遇到问题,欢迎线下交流。

阿里云国内75折 回扣 微信号:monov8
阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6