金山云支持基于SAML 2.0的SSO(Single Sign On,单点登录),也称为身份联合登录。
使用场景
如果您的企业或组织已有自己的账号体系,同时希望管理组织内成员使用金山云资源,金山云提供SSO功能,您不必在金山云账户中为每一位组织成员创建子用户,您可以使用此功能管理外部用户身份,可以向这些外部用户身份授予权限使用您的金山云资源。为了更好的理解SSO,下面简要介绍与SAML/SSO相关的一些基本概念。
基本概念
身份提供商(IdP)
- 一个包含有关外部身份提供商元数据的实体,身份提供商可以提供身份管理服务。
- 企业本地IdP:Microsoft Active Directory Federation Service (AD FS)、Shibboleth等。
- Cloud IdP:Azure AD、Google G Suite、Okta、OneLogin等。
服务提供商(SP)
利用IdP的身份管理功能,为用户提供具体服务的应用,SP会使用IdP提供的用户信息。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。
安全断言标记语言(SAML 2.0)
实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML 2.0已经是目前实现企业级SSO的一种事实标准。
SAML断言(SAML assertion)
SAML协议中用来描述认证请求和认证响应的核心元素。例如:用户的具体属性就包含在认证响应的断言里。
信赖(Trust)
建立在SP和IdP之间的互信机制,通常由公钥和私钥来实现。SP通过可信的方式获取IdP的SAML元数据,元数据中包含IdP签发SAML断言的签名验证公钥,SP则使用公钥来验证断言的完整性。
功能特性
-
无需创建金山云账号
企业客户无需为组织内每个成员创建金山云账号,避免因用户所分配的长期访问证书(例如云 API 密钥)泄露而导致的安全问题。 -
提供联合单点登录(SSO)
企业客户已有身份验证体系的场景下,通过身份提供商可实现联合单点登录(SSO)。 -
简化身份验证登录流程
因身份提供商提供登录代码,企业客户能够低成本完成与金山云的联合身份验证,便捷上云。
SSO方式
金山云支持两种 SSO 登录方式:
- 通过角色SSO,企业可以在本地IdP中管理员工信息,无需进行金山云和企业IdP间的用户同步,企业员工将使用指定的角色来登录金山云。
- 通过用户SSO,企业员工在登录后,将以 IAM 子用户身份访问金山云。
文档内容是否对您有帮助?
根本没帮助
文档较差
文档一般
文档不错
文档很好
在文档使用中是否遇到以下问题
内容不全,不深入
内容更新不及时
描述不清晰,比较混乱
系统或功能太复杂,缺乏足够的引导
内容冗长
更多建议
0/200
评价建议不能为空
提交成功!
非常感谢您的反馈,我们会继续努力做到更好!