You need to enable JavaScript to run this app.
导航
访问控制
  • 文档首页
    • /访问控制/用户指南/身份管理/单点登录(SSO)管理/2022-08版本 SAML SSO/用户SSO配置示例/使用OneLogin进行用户SSO的示例
使用OneLogin进行用户SSO的示例
最近更新时间:2022.12.23 14:57:14首次发布时间:2022.10.08 19:51:50
我的收藏
目标

企业在OneLogin中维护了自己的员工身份,希望能够对应登录到的火山引擎上企业账号(账号ID:2100036560)下的子用户。本示例中,在OneLogin有用户user1,希望能够通过用户SSO单点登录配置,user1从OneLogin直接跳转火山引擎登录页面单点登录到火山引擎账号下的子用户user1。

操作

步骤一:在火山引擎控制台获取SAML服务提供商(SP)元数据

  1. 登录您火山引擎账号的访问控制(IAM)控制台。

  2. 身份管理-身份提供商处上方提示条复制SAML服务商提供元数据URL。

  3. 打开复制的URL,将XML文件存储到本地。

步骤二:在火山引擎创建IAM用户

在访问控制,身份管理-用户中点击新建用户,新建火山引擎账号下的子用户user1。

步骤三:创建新的OneLogin应用

OneLogin作为身份提供商(IdP),需要以“应用”的形式感知服务提供商火山引擎,实现单点登录。为此需要在OneLogin处创建对应火山引擎的应用。

  1. 使用管理员用户登录OneLogin

  2. 在顶部导航的Applications tab下,点击右上角Add App,创建一个新的应用程序。

  3. 在Find Applications页面,搜索SAML Test Connector,选择SAML Test Connector (Advanced)

  4. Add SAML Test Connector (Advanced) 页面,配置应用程序的基本信息,此示例中可以填写Display Name为“VolcineDemo”,该名称仅用作在IdP处展示,然后单击Save

  5. 在左边导航栏的Info页面中,鼠标悬浮在页面右上角More Actions,点击SAML Metadata,下载身份提供商(IdP)元数据文件,并将其保存在本地计算机上。

步骤四:完成OneLogin应用的SAML配置

接下来需要为IdP配置基于SAML的单点登录。

  1. 在刚刚创建的应用程序VolcineDemo的页面,点击左侧导航的Configuration

  2. Audience(EntityID) 配置为SP Metadata文件中EntityID的值,同时将RecipientACS(Consumer) URL ValidatorACS(Consumer) URL填成SP Metadata文件中Location的值,即 https://signin.volcengine.com/saml/sso。
    alt

  3. 其余字段保持默认,点击Save

  4. 点击左侧导航的Parameters,点击页面右侧加号,配置Filed name为:https://www.volcengine.com/SAML/Attributes/Identity,点击Save,下一步中Value配置为Macro,自定义为要登录的角色或用户的trn,需要登录几个角色或用户就配置几条身份属性声明。本示例中,源属性值需要配置为:trn:iam::2100036560:user/user1,trn:iam::2100036560:saml-provider/OneLogin_user,其中OneLogin_user为未来步骤六中创建的身份提供商名称。点击Save
    请注意:此步骤需要勾选“Include in SAML assertion”。
    alt
    alt

  5. 再次点击页面右侧加号,配置Filed name为:https://www.volcengine.com/SAML/Attributes/SessionName,点击Save,下一步中Value配置为Macro,自定义为常值即可,仅用作记录和展示。点击Save
    请注意:同上一步,同样需要勾选“Include in SAML assertion”。

步骤五:在OneLogin中创建用户并分配给应用

此步骤定义在OneLogin中,有权访问VolcineDemo应用的OneLogin用户或用户组。

  1. 点击页面顶部导航Users>Users,点击右上角New User

  2. 配置用户user1基本信息后,点击右上角Save User

  3. 点击该用户页面左侧导航Applications,点击右侧加号,选择VolcineDemo应用,点击Continue,添加

步骤六:在火山引擎创建用户SSO身份提供商

  1. 登录您火山引擎账号的访问控制(IAM)控制台。

  2. 身份管理-身份提供商处,点击新建身份提供商,选择用户SSO,并填写身份提供商名称为步骤四中填写的OneLogin_user,并将步骤四中获取的IdP Metadata元数据文件上传,点击提交

结果验证

完成SSO登录配置后,您可以验证从OneLogin发起单点登录。
以user1身份登录OneLogin后,直接进入门户或点击左上角的OneLogin图标,在应用管理列表中中选择VolcineDemo。若能够跳转至火山引擎SSO登录页、登入对应账号的User1身份,则单点登录配置成功。

或在火山引擎的登录页面中选择“企业联邦登录”登录方式,输入账号名或ID后选择OneLogin对应身份提供商,跳转到OneLogin后进行帐密登录。登录成功后若能够跳转至火山引擎SSO登陆页,登入对应账号的User1身份,则单点登录配置成功。