角色SSO

角色SSO概述

角色SSO指在建立企业自有身份管理系统作为IdP、火山引擎作为SP的互信关系后，用户通过企业自有身份管理系统登陆后可以通过扮演对应的IAM角色身份访问火山引擎。单个企业用户可以扮演一个或多个IAM角色。
角色SSO适用于：

• 为了避免用户管理成本，您不希望在火山引擎创建过多IAM用户。

• 您只需通过IdP登陆页面发起登录请求，跳转登录火山引擎控制台。

• 您的公司内部使用多个不同IdP，您需要在同一个账号下配置多个IdP的单点登录。

具体流程图如下：

1. 企业用户浏览器通过第三方IdP登陆界面火山引擎应用链接发起单点登录请求。

2. IdP认证已登录用户并发送含有企业用户对应的IAM角色信息的SAML断言。

3. 企业用户浏览器向火山引擎SSO服务转发SAML断言。

4. SSO服务解析SAML并通过SAML互信配置，验证SAML断言真伪。

5. SAML解析后通过其内部信息匹配对应的一个或多个IAM角色。

6. 火山引擎SSO服务向企业用户浏览器返回火山引擎控制台URL。

7. 企业用户浏览器重定向，企业用户选择所需的IAM角色身份，通过角色扮演登录火山引擎控制台访问对应资源。

SAML 配置基本步骤

为了实现角色SSO，需要配置IdP和SP的互信关系，并建立企业IdP用户与IAM用户的对应关系。

1. 首先将企业IdP配置为火山引擎的可信身份提供商。请参考火山引擎的SAML 2.0 角色SSO配置。角色SSO类型的身份提供商支持多个（上限为100个）。

2. 其次在IAM控制台创建IAM角色，同时为角色赋予相关权限。如果您需要多个具有不同权限的IAM角色，建议您将IAM角色命名规范化，例如{$IdP}_role，其中IdP可以为ADFS、Okta等，role为rd、sre、admin等。参考角色管理。请注意，角色的信任身份类型需要为身份提供商，且选择步骤1中创建好的身份提供商。

3. 其次将火山引擎作为SP配置为企业IdP可信的服务提供商。请参考企业IDP的SAML 2.0 SSO配置。

4. 随后在企业IdP处配置SAML断言内容，完成最终的IAM角色和企业用户的映射工作。请参考角色SSO的SAML响应。

5. 登录时进入到SSO登录界面时选择需要登录的角色即可扮演该IAM角色身份登录至火山引擎控制台。