最近更新时间:2023-11-16 19:10:42
为了建立金山云与企业IdP之间的互信关系,需要进行金山云云作为SP的SAML配置和企业IdP的SAML配置,配置完成后才能进行SSO。
企业IdP的SAML SP配置需要使用金山云云的SAML服务提供商元数据URL:[http://fe.ksyun.com/fs/ksyun-sp-metadata.xml]。
在企业IdP中创建一个SAML SP,并根据实际情况选择下面任意一种方式配置金山云为信赖方:
(1)直接使用上述金山云的元数据URL进行配置。
(2)如果您的IdP不支持URL配置,您可以根据上述URL下载元数据文件并上传至您的IdP。
(3)如果您的IdP不支持元数据文件上传,则需要手动配置以下参数:
金山云要求企业IdP生成的SAML断言里包含一些必要的信息以确定企业用户的登录身份,因此企业IdP必须进行属性配置来角色,从而实现企业用户与金山云的SSO。
金山云要求的自定义元素
在SAML断言的AttributeStatement元素中,必须包含以下金山云要求的Attribute元素:
1.Name属性值为https://www.ksyun.com/SAML-Role/Attributes/Role的Attribute元素.
该元素为必选,可以有多个。其包含的AttributeValue元素取值代表允许当前用户扮演的角色,取值的格式是由角色KRN与身份提供商KRN组合而成的,中间用半角逗号(,)隔开。这两个KRN您可以在控制台获取:
说明: 如果是多个,当使用控制台登录时,将会在页面上列出所有角色供用户选择。
Role Attribute元素示例如下:
<Attribute Name="https://www.ksyun.com/SAML-Role/Attributes/Role">
<AttributeValue>krn:ksc:iam::$account_id:role/role1,krn:ksc:iam::$account_id:saml-provider/provider1</AttributeValue>
</Attribute>
说明: $account_id是定义角色和身份提供商的金山云账号ID
2.Name属性值为https://www.ksyun.com/SAML-Role/Attributes/RoleSessionName的Attribute元素
该元素为必选且只能有一个。其包含的AttributeValue元素取值将被用来作为登录用户信息的一部分显示在控制台上和操作审计日志中。如果您有多个用户使用同一个角色,请确保使用可以唯一标识用户的RoleSessionName值,以区分不同的用户,如员工ID、Email地址等。
AttributeValue元素取值要求:长度不少于2个字符且不超过64个字符,只能是英文字母、数字和特殊字符-_.@=。
RoleSessionName Attribute元素示例如下:
<Attribute Name="https://www.ksyun.com/SAML-Role/Attributes/RoleSessionName">
<AttributeValue>zhangsan</AttributeValue>
</Attribute>
3.Name属性值为https://www.ksyun.com/SAML-Role/Attributes/SessionDuration的Attribute元素
该元素为可选且最多只能有一个。其包含的AttributeValue元素取值为整数,单位为秒,不能小于900,不能大于Role元素所代表的角色的最长会话时间。
SessionDuration Attribute元素示例如下:
<Attribute Name="https://www.ksyun.com/SAML-Role/Attributes/SessionDuration">
<AttributeValue>3600</AttributeValue>
</Attribute>
角色创建成功后,进入设置角色权限页面,您可以为该角色添加权限策略。
纯净模式