SSO配置步骤

最近更新时间:2019-11-14 20:01:36

为了建立金山云与企业IdP之间的互信关系,需要进行金山云云作为SP的SAML配置和企业IdP的SAML配置,配置完成后才能进行SSO。

第一步:在企业组织中配置基于 SAML 2.0 的身份提供商

1.企业IdP的SAML SP配置需要使用金山云云的SAML服务提供商元数据URL:http://fe.ksyun.com/fs/ksyun-sp-metadata.xml

2.在企业IdP中创建一个SAML SP,并根据实际情况选择下面任意一种方式配置金山云为信赖方:

(1)直接使用上述金山云的元数据URL进行配置。

(2)如果您的IdP不支持URL配置,您可以根据上述URL下载元数据文件并上传至您的IdP。

(3)如果您的IdP不支持元数据文件上传,则需要手动配置以下参数:

第二步:在企业IdP中配置SAML断言属性

金山云要求企业IdP生成的SAML断言里包含一些必要的信息以确定企业用户的登录身份,因此企业IdP必须进行属性配置来IAM角色,从而实现企业用户与金山云的SSO。

第三步:在金山云创建SAML身份提供商

1.登录控制台,访问菜单访问控制>SSO管理

2.在SSO管理页面中点击新建身份提供商按钮

3.输入身份提供商名称和备注,上传元数据文档后点击确定即可创建身份提供商

  • 元数据文档由企业IdP提供
  • 一般为XML格式,包含IdP的登录服务地址、用于验证签名的公钥及断言格式等信息

第四步:在金山云为SAML身份提供商配置权限

1.登录控制台,访问菜单访问控制>角色管理

2.在角色管理页面中点击新建角色按钮

3.设置授权实体类型为身份提供商

4.填写角色名称和备注

5.选择已创建的某个身份提供商

6.设置角色权限

7.点击完成即可

由于不同IdP的系统差异,关于SAML SP配置和断言属性配置的操作流程都有些差异。我们会提供一个以Azure AD与金山云进行角色SSO的示例,用于帮助理解企业IdP与金山云的端到端配置流程。

金山云,开启您的云计算之旅

注册有礼