实现ADFS与阿里云SSO(单点登陆管理)——配置用户SSO

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了实现ADFS与阿里云SSO(单点登陆管理)——配置用户SSO相关的知识,希望对你有一定的参考价值。

一、 在阿里云访问控制中打开用户SSO选项,在阿里云目录中配置可信外部SAML IdP
技术图片


二、 在ADFS中配置阿里云为可信SP
技术图片
技术图片

元数据URL获取:

  1. 云账号登录RAM控制台。
  2. 在左侧导航栏,单击SSO管理。
  3. 单击用户SSO。
  4. 在SSO登录设置区域,可以查看当前云账号的SAML服务提供商元数据URL。

三、 为阿里云SP配置SAML断言属性。
配置Active Directory中的UPN为SAML断言中的NameID
在这里,微软用了Claim(声明)这一术语来指代SAML断言中的属性。这是因为AD FS支持的其他协议(OAuth,WS-Fed等)也都使用Claim来表达Token中的字段。

第一步:为信赖方编辑声明规则
所谓声明规则,指的是Claims Rule,也就是SAML断言中的声明(属性)是怎样从Active Directory的用户属性中生成的。
技术图片

第二步:添加颁发转换规则
所谓颁发转换规则,指的是Issuance Transformation Rule,指的是如何将一个已知的用户属性,经过转换之后,颁发为SAML断言中的属性。由于我们要将用户在AD中的UPN颁发为NameID,因此需要添加一个新的规则
技术图片
规则的模版为转换传入声明
技术图片
到这里,由于我们云账号里的UPN域名为jccloud.onaliyun.com,而AD中的UPN域名为corp.jccfc.com,显然如果直接将AD中的User Principal Name映射为NameID会让阿里云无法匹配到正确的子账号用户。
在这种情况下,在AD FS给阿里云颁发的SAML断言中就必须将UPN的域名后缀从corp.jccfc.com替换为jccloud.onaliyun.com(假定用户名一一对应)
技术图片


四、 验证配置
在内网打开门户
技术图片
选择用户SSO,使用域账户登录。
技术图片
登陆成功。

以上是关于实现ADFS与阿里云SSO(单点登陆管理)——配置用户SSO的主要内容,如果未能解决你的问题,请参考以下文章

SpringBoot实现用户统一管理与单点登陆

实战:ADFS3.0单点登录系列-总览

实战:ADFS3.0单点登录系列-集成Exchange

Dynamics 365 通过ADFS连接第三方SSO登录后跳转回来404的问题

通过 ADFS 实现 java SSO

08-微服务版单点登陆系统(SSO)实践(2107)