企业在KeyCloak中维护了自己的员工身份，希望能够对应登录到的火山引擎上企业账号（账号ID：210*******）下的子用户。本示例中，在KeyCloak有用户testuser，希望能够通过用户SSO单点登录配置，testuser从KeyCloak直接跳转火山引擎登录页面单点登录到火山引擎账号下的子用户testuser。

1. 在KeyCloak中，查看并保存KeyCloak IDP元数据文件，需保存为XML文件

2. 在火山引擎-访问控制中，新建身份提供商，身份提供商类型选择SAML，下载火山引擎用户SSO的服务提供商元数据文件，保存为XML文件。上传KeyCloak IDP元数据文件。

3. 在KeyCloak中添加客户端，并上传火山引擎用户SSO的服务提供商元数据文件。

4. 设置客户端相关信息，可参考如下：

   1. 客户端ID（Client ID）：可通过火山引擎用户SSO的服务提供商元数据文件自动识别，是火山引擎提供的entityID。

   2. 名称ID格式（Name ID Format）：username

   3. 有效重定向URI（Valid Redirect URIs ）：https://signin.volcengine.com/saml/sso，火山引擎提供的ACS URL

   4. 根URL（Base URL）：填写完成“IDP发起的 SSO URL 名称”后截取“Target IDP initiated SSO URL”中根URL。

   5. IDP发起的 SSO URL 名称（IDP Initiated SSO URL Name):volcengine

   6. IDP发起的SSO中继状态（IDP Initiated SSO Relay State）：可配置火山引擎控制台首页地址，或任意一个希望跳转的页面。从KeyCloak发起SSO时会跳转至该地址。

5. 在KeyCloak-users管理中和火山引擎-访问控制-用户中分别创建相同用户名的用户。操作指引：火山引擎新建用户

   
   

从KeyCloak发起单点登录：

1. 在 KeyCloak 中单击创建的客户端根 URL。
   
2. 输入已创建KeyCloak用户的用户名和密码
   
3. 成功跳转至火山引擎
   

从火山引擎发起单点登录:

1. 在火山引擎登录页面选择“企业联邦登录”，选择需要登录的账号和身份提供商，点击“立即登录”。
   

2. 输入已创建KeyCloak用户的用户名和密码

3. 成功跳转至火山引擎