本文以KeyCloak与金山云进行角色SSO的示例，帮助您理解企业IdP与金山云进行SSO的端到端配置流程。

一、访问控制中获取SAML服务提供商元数据

1. 登录访问控制控制台
2. 选择左侧菜单SSO管理
3. 在SSO管理页面, 单击用户SSO页签
4. 复制SAML服务提供商元数据URL
5. 在新的浏览器窗口中打开复制的链接，将元数据XML文件另存到本地
   
   

二、KeyCloak客户端配置金山云元数据

（一）创建Realm

1. 登录KeyCloak门户
2. 切换到管理员身份
3. 在左侧导航栏，选择Create realm，并填写Realm name，一般是公司名称
   

（二）配置Realm客户端

1. 导入元数据XML文件
   
   
2. 设置登录地址
   

三、获取当前Realm元数据文档

点击Realm Settings菜单中Endpoints中的SAML 2.0 Identity Provider Metadata链接，可查看具体的IDP Metadata内容，将内容保存至本地IdpMetadata.xml文件中

四、访问控制中配置SSO

1. 创建身份提供商，并上传Realm元数据文档（创建超过后，“身份提供商KRN”后续会使用到）
   
   
2. 新建角色
   
   
3. 设置角色权限
   
4. 保存角色KRN
   

五、KeyCloak创建role

Role name为访问控制“角色KRN”+“身份提供商KRN”，以英文逗号连接

六、新增客户端scopes

（一）点击Add client scope

（二）打开Full scope allowed

七、配置mapper

（一）新增Role list

点击Add mapper，选择Role list；新增完成后，在列表页将注册类型改为“Optional”

（二）新增User Property

点击Add mapper，选择User Property

（三）新增Hardcoded attribute

点击Add mapper，选择User Property

八、配置Users

（一）新增Users

（二）设置密码

九、配置Groups

（一）新增group

（二）添加成员

（三）添加角色

八、登录

（一）获取登录地址

（二）浏览器登录