企业在Okta中维护了自己的员工身份,希望能够对应登录到的火山引擎上企业账号(账号ID:210*******)下的子用户。本示例中,在Okta有用户user1@email.com,希望能够通过用户SSO单点登录配置,user1@email.com从Okta直接跳转火山引擎登录页面单点登录到火山引擎账号下的子用户user1@email.com。
登录您火山引擎账号的访问控制(IAM)控制台。
在身份管理-身份提供商点击创建身份提供商。
在新开启的抽屉中将身份提供商类型选择为SAML,SSO类型选择为用户SSO。在用户SSO的服务提供商元数据URL处,点击URL,后续的步骤中将会使用本URL新开启的页面内的信息。
在访问控制,身份管理-用户中点击新建用户,用户名为user1@email.com。
Okta作为身份提供商(IdP),需要以“应用”的形式感知服务提供商火山引擎,实现单点登录。为此需要在Okta处创建对应火山引擎的应用。
登录到Okta门户,点击右上角管理员。
以管理员身份登录到Okta后,点击左侧导航栏内的Applications-Applications,点击Create APP Integration,进入Create a new app integration弹窗,选择SAML2.0,点击Next。
在Create SAML Integration-General Settings界面中,输入应用名称App name(仅用作在IDP处展示,本示例中可以填写“VolcineDemo”),点击Next。
在Create SAML Integration-Configure SAML步骤中,完成步骤四中的SAML配置。
接下来需要为IdP配置基于SAML的单点登录。
在刚刚创建的应用程序VolcineDemo的Create SAML Integration-Configure SAML步骤中,基于第一步中获取到的SP元数据,配置General栏:
AssertionConsumerService元素的Location的值,即 https://signin.volcengine.com/saml/sso。EntityDescriptor元素的'EntityID'的值,该取值会基于账号ID变动,本示例中为: https://signin.volcengine.com/210*******/saml_user/sso。点击Next,按需填写Feedback步骤内容后,点击Finish保存配置。
在当前应用中,点击Sign On tab,找到SAML SigningCertificates,在状态为Active的Certificate中鼠标悬浮在 Actions,点击View IdP metadata,在新页面中点击右键存储身份提供商的元数据(IdP Metadata)。
此步骤定义在Okta中,有权访问VolcineDemo应用的Okta用户或用户组。
点击Directory-People,点击左上角Add person,配置用户user1@email.com基本信息。
点击查看用户详情,在Applications tab下,点击Assign Applications,选择VolcineDemo,点击Assign,点击Done。
回到您火山引擎账号的访问控制(IAM)控制台。
在步骤一中的身份管理-身份提供商-新建身份提供商抽屉中,选择“开启用户SSO”,并按需填写身份提供商名称,例如Okta_User。最后将步骤四中获取的IdP Metadata元数据文件上传,点击提交。
完成SSO登录配置后,您可以验证从Okta发起单点登录。
以user1@email.com身份登录Okta门户后,在我的应用程序仪表板中点击VolcineDemo,测试user1@email.com的SSO登录。如果成功跳转到火山引擎SSO登录页面且能够以火山引擎user1@email.com用户的身份登入账号210*******,则表示配置成功。
或您可以验证从火山引擎发起单点登录。
在火山引擎的登录页面中选择“企业联邦登录”登录方式,输入账号ID 210*******后选择对应身份提供商Okta_user,跳转到Okta后进行帐密登录到Okta的user1@email.com身份。登录成功后若能够跳转至火山引擎SSO登陆页,登入对应火山引擎账号的user1@email.com身份,则单点登录配置成功。