SSO概览

金山云支持基于SAML 2.0的SSO（Single Sign On，单点登录），也称为身份联合登录。

使用场景

如果您的企业或组织已有自己的账号体系，同时希望管理组织内成员使用金山云资源，金山云提供SSO功能，您不必在金山云账户中为每一位组织成员创建子用户，您可以使用此功能管理外部用户身份，可以向这些外部用户身份授予权限使用您的金山云资源。为了更好的理解SSO，下面简要介绍与SAML/SSO相关的一些基本概念。

基本概念

身份提供商（IdP）

• 一个包含有关外部身份提供商元数据的实体，身份提供商可以提供身份管理服务。
• 企业本地IdP：Microsoft Active Directory Federation Service （AD FS）、Shibboleth等。
• Cloud IdP：Azure AD、Google G Suite、Okta、OneLogin等。

服务提供商（SP）

利用IdP的身份管理功能，为用户提供具体服务的应用，SP会使用IdP提供的用户信息。一些非SAML协议的身份系统（例如：OpenID Connect），也把服务提供商称作IdP的信赖方。

安全断言标记语言（SAML 2.0）

实现企业级用户身份认证的标准协议，它是SP和IdP之间实现沟通的技术实现方式之一。SAML 2.0已经是目前实现企业级SSO的一种事实标准。

SAML断言（SAML assertion）

SAML协议中用来描述认证请求和认证响应的核心元素。例如：用户的具体属性就包含在认证响应的断言里。

信赖（Trust）

建立在SP和IdP之间的互信机制，通常由公钥和私钥来实现。SP通过可信的方式获取IdP的SAML元数据，元数据中包含IdP签发SAML断言的签名验证公钥，SP则使用公钥来验证断言的完整性。

功能特性

• 无需创建金山云账号
  企业客户无需为组织内每个成员创建金山云账号，避免因用户所分配的长期访问证书（例如云 API 密钥）泄露而导致的安全问题。

• 提供联合单点登录（SSO）
  企业客户已有身份验证体系的场景下，通过身份提供商可实现联合单点登录（SSO）。

• 简化身份验证登录流程
  因身份提供商提供登录代码，企业客户能够低成本完成与金山云的联合身份验证，便捷上云。

SSO方式

金山云支持两种 SSO 登录方式：

• 通过角色SSO，企业可以在本地IdP中管理员工信息，无需进行金山云和企业IdP间的用户同步，企业员工将使用指定的角色来登录金山云。
• 通过用户SSO，企业员工在登录后，将以 IAM 子用户身份访问金山云。