實現ADFS與阿里雲SSO(單點登錄管理)——配置角色SSO
1、建立身份提供商
在阿里雲RAM控制檯建立一個名爲ADFS的身份提供商,並配置相應的元數據。AD FS的元數據URL爲
https://adfs.domain.com/federationmetadata/2007-06/federationmetadata.xml
瀏覽器輸入連接,下載元數據文件。(鏈接中域名換爲本身的)html
- 雲帳號登陸RAM控制檯。
- 在左側導航欄,單擊SSO管理。
- 在角色SSO頁簽下,單擊新建身份提供商。
- 輸入提供商名稱和備註。
- 在元數據文檔處,單擊上傳文件。
2、建立RAM帳號並受權windows
- 雲帳號登陸RAM控制檯。
- 在左側導航欄,單擊RAM角色管理。
- 單擊新建RAM角色。
- 選擇可信實體類型爲身份提供商,單擊下一步。
- 輸入角色名稱和備註。
- 選擇身份提供商並查看限制條件後,單擊完成。
點擊完成並根據需求授予權限。瀏覽器
3、 在AD FS中將阿里雲配置爲可信SAML SP服務器
- 在服務器管理器的工具菜單中選擇AD FS管理。
- 在AD FS管理工具中添加信賴方信任。
- 爲新建立的信賴方設置阿里雲的角色SSO的SAML SP元數據,元數據URL爲https://signin.aliyun.com/saml-role/sp-metadata.xml。
- 按照嚮導完成配置。
4、爲阿里雲SP配置SAML斷言屬性
阿里雲鬚要AD FS在SAML斷言中提供NameID、Role和RoleSessionName屬性。AD FS中經過頒發轉換規則來實現這一功能。
• NameID
配置Active Directory中的Windows帳戶名爲SAML斷言中的NameID,其操做步驟以下。dom
- 爲信賴方編輯聲明規則。
- 添加頒發轉換規則。
說明 頒發轉換規則(Issuance Transform Rules):指如何將一個已知的用戶屬性,通過轉換後,頒發爲SAML斷言中的屬性。因爲咱們要將用戶在AD中的Windows帳戶名頒發爲NameID,所以須要添加一個新的規則。 - 聲明規則模版選擇轉換傳入聲明。
- 使用以下配置規則,並點擊完成。
- 聲明規則名稱:NameID
- 傳入聲明類型:Windows帳戶名
- 傳出聲明類型:名稱ID
- 傳出名稱ID格式:永久標識符
- 傳遞全部聲明值:勾選
配置Active Directory中的UPN爲SAML斷言中的RoleSessionName,其操做步驟以下。
5.單擊添加轉換聲明規則。
6.從聲明規則模板中選擇以聲明方式發送LDAP特性。
7.使用以下配置規則,並點擊完成。ide
- 聲明規則名稱:RoleSessionName
- 特性存儲:Active Directory
- LDAP 特性列:User-Principal-Name(您也能夠根據具體需求選擇其餘屬性,例如email。)
- 傳出聲明類型:https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName
經過自定義規則將特定的用戶所屬組的信息轉化成阿里雲上的角色名稱,其操做步驟以下。
8.單擊添加轉換聲明規則。
9.從聲明規則模板中選擇使用自定義規則發送聲明,點擊下一步。
使用以下配置規則,並點擊完成。工具
- 聲明規則名稱:Get AD Groups
- 自定義規則:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccount name", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
10.單擊添加轉換聲明規則。
11.重複以上步驟,並點擊完成。阿里雲 - 聲明規則名稱:Role
- 自定義規則:
c:[Type == "http://temp/variable", Value =~ "(?i)^Aliyun-([\d]+)"] => issue(Type = "https://www.aliyun.com/SAML-Role/Attributes/Role", Value = RegExReplace(c.Value, "Aliyun-([\d]+)-(.+)", "acs:ram:: $1:role/$2,acs:ram::$1:saml-provider/ADFS"));
5、在AD域中建立對應用戶組
在AD域中建立用戶組
名命格式爲Aliyun-<Account-ID>-adfs,Aliyun-<Account-ID>-adfs-user
將所需的對應的用戶添加至用戶組。3d
6、驗證配置
登陸AD FS SSO門戶
(URL:https://adfs.domain.com/adfs/ls/IdpInitiatedSignOn.aspx)
選擇阿里雲應用,輸入用戶名密碼。code
官方文檔參考
https://help.aliyun.com/document_detail/109791.html?spm=a2c4g.11186623.6.643.461a62b3tlKb3p
- 1. 實現ADFS與阿里雲SSO(單點登錄管理)——ADFS搭建、ADFS場的創建
- 2. 單點登錄:sso實現
- 3. 單點登錄sso實現
- 4. SSO實現單點登錄
- 5. SSO單點登錄原理及實現
- 6. SSO -單點登錄的實現原理
- 7. 單點登錄SSO的實現原理
- 8. CAS實現SSO單點登錄原理
- 9. CAS 實現單點登錄(SSO)原理
- 10. 單點登錄實現原理(SSO)
- 更多相關文章...
- • 登錄MySQL數據庫 - MySQL教程
- • Eclipse Debug 配置 - Eclipse 教程
- • 使用阿里雲OSS+CDN部署前端頁面與加速靜態資源
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. No provider available from registry 127.0.0.1:2181 for service com.ddbuy.ser 解決方法
- 2. Qt5.7以上調用虛擬鍵盤(支持中文),以及源碼修改(可拖動,水平縮放)
- 3. 軟件測試面試- 購物車功能測試用例設計
- 4. ElasticSearch(概念篇):你知道的, 爲了搜索…
- 5. redux理解
- 6. gitee創建第一個項目
- 7. 支持向量機之硬間隔(一步步推導,通俗易懂)
- 8. Mysql 異步複製延遲的原因及解決方案
- 9. 如何在運行SEPM配置嚮導時將不可認的複雜數據庫密碼改爲簡單密碼
- 10. windows系統下tftp服務器使用
- 1. 實現ADFS與阿里雲SSO(單點登錄管理)——ADFS搭建、ADFS場的創建
- 2. 單點登錄:sso實現
- 3. 單點登錄sso實現
- 4. SSO實現單點登錄
- 5. SSO單點登錄原理及實現
- 6. SSO -單點登錄的實現原理
- 7. 單點登錄SSO的實現原理
- 8. CAS實現SSO單點登錄原理
- 9. CAS 實現單點登錄(SSO)原理
- 10. 單點登錄實現原理(SSO)