角色SSO配置步骤

为了建立金山云与企业IdP之间的互信关系，需要进行金山云云作为SP的SAML配置和企业IdP的SAML配置，配置完成后才能进行SSO。

一：在企业组织中配置基于 SAML 2.0 的身份提供商

1. 企业IdP的SAML SP配置需要使用金山云云的SAML服务提供商元数据URL：[http://fe.ksyun.com/fs/ksyun-sp-metadata.xml]。

2. 在企业IdP中创建一个SAML SP，并根据实际情况选择下面任意一种方式配置金山云为信赖方：

   （1）直接使用上述金山云的元数据URL进行配置。

   （2）如果您的IdP不支持URL配置，您可以根据上述URL下载元数据文件并上传至您的IdP。

   （3）如果您的IdP不支持元数据文件上传，则需要手动配置以下参数：

   • Entity ID：urn:ksyun:cloudcomputing
   • ACS URL：https://signin.ksyun.com/saml-role/sso
   • RelayState：只支持配置跳转到金山云云控制台首页。

二：在企业IdP中配置SAML断言属性

金山云要求企业IdP生成的SAML断言里包含一些必要的信息以确定企业用户的登录身份，因此企业IdP必须进行属性配置来IAM角色，从而实现企业用户与金山云的SSO。

金山云要求的自定义元素
在SAML断言的AttributeStatement元素中，必须包含以下金山云要求的Attribute元素：

1.Name属性值为https://www.ksyun.com/SAML-Role/Attributes/Role的Attribute元素.
该元素为必选，可以有多个。其包含的AttributeValue元素取值代表允许当前用户扮演的角色，取值的格式是由角色KRN与身份提供商KRN组合而成的，中间用半角逗号（,）隔开。这两个KRN您可以在控制台获取：

• 角色KRN：在角色页面，单击IAM角色名称，在角色信息区域查看对应的KRN。
• 身份提供商KRN：在SSO管理页面的角色SSO页签下，单击身份提供商名称，在身份提供商信息区域查看对应的KRN。

说明: 如果是多个，当使用控制台登录时，将会在页面上列出所有角色供用户选择。

Role Attribute元素示例如下：

<Attribute Name="https://www.ksyun.com/SAML-Role/Attributes/Role">      
  <AttributeValue>krn:ksc:iam::$account_id:role/role1,krn:ksc:iam::$account_id:saml-provider/provider1</AttributeValue>  
</Attribute>  

说明: $account_id是定义角色和身份提供商的金山云账号ID

2.Name属性值为https://www.ksyun.com/SAML-Role/Attributes/RoleSessionName的Attribute元素
该元素为必选且只能有一个。其包含的AttributeValue元素取值将被用来作为登录用户信息的一部分显示在控制台上和操作审计日志中。如果您有多个用户使用同一个角色，请确保使用可以唯一标识用户的RoleSessionName值，以区分不同的用户，如员工ID、Email地址等。

AttributeValue元素取值要求：长度不少于2个字符且不超过64个字符，只能是英文字母、数字和特殊字符[email protected]=。

RoleSessionName Attribute元素示例如下：

<Attribute Name="https://www.ksyun.com/SAML-Role/Attributes/RoleSessionName">
  <AttributeValue>zhangsan</AttributeValue>
</Attribute>  

3.Name属性值为https://www.ksyun.com/SAML-Role/Attributes/SessionDuration的Attribute元素
该元素为可选且最多只能有一个。其包含的AttributeValue元素取值为整数，单位为秒，不能小于900，不能大于Role元素所代表的角色的最长会话时间。

SessionDuration Attribute元素示例如下：

<Attribute Name="https://www.ksyun.com/SAML-Role/Attributes/SessionDuration">
  <AttributeValue>3600</AttributeValue>
</Attribute>    

三：在金山云创建SAML身份提供商

1. 登录访问控制控制台。
2. 选择左侧菜单SSO管理 。
3. 在SSO管理页面中单击创建身份提供商按钮。
4. 在弹窗中输入身份提供商名称和备注，上传元数据文档。

• 元数据文档由企业IdP提供
• 一般为XML格式，包含IdP的登录服务地址、用于验证签名的公钥及断言格式等信息

5. 单击提交，完成创建。

四：在金山云为SAML身份提供商配置权限

1. 登录访问控制控制台。
2. 在左侧导航栏，单击角色管理。
3. 在角色管理界面，单击新建角色。
4. 在新建角色页面中，设置授权实体类型为身份提供商。
5. 输入角色名称和备注。
6. 在设置载体信息， 选择身份提供商。
7. 单击下一步，完成角色创建。

角色创建成功后，进入设置角色权限页面，您可以为该角色添加权限策略。