企业在Azure AD中维护了自己的员工身份,希望能够对应登录到的火山引擎上企业账号(账号ID:2100036560)下的子用户。本示例中,在Azure AD有用户user1,希望能够通过用户SSO单点登录配置,user1从Azure AD直接跳转火山引擎登录页面单点登录到火山引擎账号下的子用户user1。
登录您火山引擎账号的访问控制(IAM)控制台。
在身份管理-身份提供商处上方提示条复制SAML服务商提供元数据URL。
打开复制的URL,将XML文件存储到本地。
在访问控制,身份管理-用户中点击新建用户,新建火山引擎账号下的子用户user1。
Azure AD作为身份提供商(IdP),需要以“应用”的形式感知服务提供商火山引擎,实现单点登录。为此需要在Azure AD处创建对应火山引擎的应用。
使用管理员用户登录Azure门户,进入Azure Active Directory控制台。
在企业应用程序中,点击新建应用程序,进入浏览Azure AD库页面,点击创建你自己的应用程序。
在创建你自己的应用程序弹窗中,输入应用名称(仅用作在IDP处展示,本示例中可以填写“VolcineDemo”),并选择集成未在库中找到的任何其他应用程序(非库),点击创建,随后跳转至新创建的应用页面。
接下来需要为IdP配置基于SAML的单点登录。
在刚刚创建的应用程序VolcineDemo的概述页面,点击设置单一登录,跳转至选择单一登录方法,选择**SAML****。
跳转至设置SAML单一登录页面:
首先在左上角点击上载元数据文件,将步骤一中获取的SP Metadata XML文件上传。
在基本SAML配置中,配置:
标识符(实体ID) 和 回复URL(断言使用者服务 URL):需要填写SP Metadata文件中自动读取的Location的值,请注意此处标识符(实体 ID)自动解析的值需要手动改为Location的值,即 https://signin.volcengine.com/saml/sso。
登录URL、中继状态、注销URL:本示例中可以置空。
配置完成后点击保存。
必需声明:必需声明用于配置唯一用户标识符,配置为对应变量后,此字段根据在Azure AD执行单点登录的用户不同而变动。因此此字段将在火山引擎的云审计记录中记录下当前操作人的信息。您可根据Azure AD的引导配置您所需的唯一用户标识符,火山引擎无特殊要求。
其他声明:删除自动配置的声明后,点击添加新的声明。在选择格式名称栏,选择名称格式为URI;源选择属性。其中名称和源属性值,根据SAML Response中的字段声明,配置两条新的声明:
身份属性,配置名称为:https://www.volcengine.com/SAML/Attributes/Identity,值为要登录的角色或用户的trn,需要登录几个角色或用户就配置几条身份属性声明。本示例中,源属性值需要配置为:trn:iam::2100036560:user/user1,trn:iam::2100036560:saml-provider/Azure_AD_user,其中Azure_AD_user为未来步骤六中创建的身份提供商名称。
会话名称属性,配置名称为:https://www.volcengine.com/SAML/Attributes/SessionName,源属性值配置为常值即可,仅用作记录和展示。
在SAML证书中,点击联合元数据XML的下载,获取身份提供商的元数据(IdP Metadata)。
此步骤定义在Azure AD中,有权访问VolcineDemo应用的Azure AD用户或用户组。
点击管理-用户和组,点击左上角添加用户/组。
在添加分配页面,点击用户和组,选择user1,点击选择,点击分配。
登录您火山引擎账号的访问控制(IAM)控制台。
在身份管理-身份提供商处,点击新建身份提供商,选择用户SSO,并填写身份提供商名称为步骤四中填写的Azure_AD_user,并将步骤四中获取的IdP Metadata元数据文件上传,点击提交。
完成SSO登录配置后,您可以验证从Azure AD发起单点登录。
以user1身份登录Azure AD后,在Azure Active Directory-企业应用程序中选择VolcineDemo,在设置单一登录中,点击上方Test此应用程序,选择作为当前用户登录,点击测试登录。
在Azure Active Directory-企业应用程序中选择VolcineDemo,在左侧管理-属性中,复制用户访问URL,该URL为用户直接访问VolcineDemo应用程序的链接。
user1获取该URL后,粘贴到自己的浏览器中,使用自己的账号登录。