企业在OneLogin中维护了自己的多个员工身份,对应多个OneLogin用户,希望能够将其对应访问到火山引擎账号下的角色role1。本示例中,在OneLogin有用户user1,希望能够通过角色SSO单点登录配置,user1从OneLogin直接跳转火山引擎登录页面以角色role1身份单点登录到火山引擎账号,行使角色对应的权限。
登录您火山引擎账号的访问控制(IAM)控制台。
在身份管理-身份提供商处上方提示条复制SAML服务商提供元数据URL。
打开复制的URL,将XML文件存储到本地。
OneLogin作为身份提供商(IdP),需要以“应用”的形式感知服务提供商火山引擎,实现单点登录。为此需要在OneLogin处创建对应火山引擎的应用。
使用管理员用户登录OneLogin。
在顶部导航的Applications tab下,点击右上角Add App,创建一个新的应用程序。
在Find Applications页面,搜索SAML Test Connector,选择SAML Test Connector (Advanced)。
在Add SAML Test Connector (Advanced) 页面,配置应用程序的基本信息,此示例中可以填写Display Name为“VolcineDemo”,该名称仅用作在IdP处展示,然后单击Save。
在左边导航栏的Info页面中,鼠标悬浮在页面右上角More Actions,点击SAML Metadata,下载身份提供商(IdP)元数据文件,并将其保存在本地计算机上。
此步骤定义在OneLogin中,有权访问VolcineDemo应用的OneLogin用户或用户组。
点击页面顶部导航Users-Users,点击右上角New User。
配置用户user1基本信息后,点击右上角Save User。
点击该用户页面左侧导航Applications,点击右侧加号,选择VolcineDemo应用,点击Continue,添加。
登录您火山引擎账号的访问控制(IAM)控制台。
在身份管理-身份提供商处,点击新建身份提供商,选择角色SSO,并填写身份提供商名称为OneLogin_role,并将步骤二中获取的IdP Metadata元数据文件上传,点击提交。
在访问控制,身份管理-角色中点击新建角色,新建火山引擎账号下的角色role1并配置相应权限。
选择信任身份为:身份提供商,身份提供商类型为SAML,并选择步骤四中建立的身份提供商OneLogin_role。
配置角色信息:输入角色名称、显示名和描述。请注意,此处会作为单点登录后登录身份的名称显示在官网身份栏,建议您按照实际工作的角色名称命名,如admin、ITservice等。本示例中以role1示意。
添加权限:您可以为角色添加IAM权限策略,同时指定权限策略的作用范围。
点击提交,创建完毕。
接下来需要为IdP配置基于SAML的单点登录。
在刚刚创建的应用程序VolcineDemo的页面,点击左侧导航的Configuration。
将Audience(EntityID),Recipient,ACS (Consumer) URL Validator,ACS(Consumer) URL填成SP Metadata文件中Location
的值,即 https://signin.volcengine.com/saml/sso。
其余字段保持默认,点击Save。
点击左侧导航的Parameters,点击页面右侧加号,配置Filed name为:https://www.volcengine.com/SAML/Attributes/Identity,点击Save,下一步中Value配置为Macro,自定义为要登录的角色或用户的trn,需要登录几个角色或用户就配置几条身份属性声明。本示例中,源属性值需要配置为:trn:iam::2100036560:role/role1,trn:iam::2100036560:saml-provider/OneLogin_role,其中OneLogin_role为步骤四中创建的身份提供商名称。点击Save。
再次点击页面右侧加号,配置Filed name为:https://www.volcengine.com/SAML/Attributes/SessionName,点击Save,下一步中Value配置为Macro,自定义为常值即可,仅用作记录和展示。点击Save。
完成SSO登录配置后,您可以验证从OneLogin发起单点登录。
以user1身份登录OneLogin后,直接进入门户或点击左上角的OneLogin图标,在应用管理列表中中选择VolcineDemo。若能够跳转至火山引擎SSO登录页、登入对应账号的role1身份,则单点登录配置成功。
或在火山引擎的登录页面中选择“企业联邦登录”登录方式,输入账号名或ID后选择OneLogin对应身份提供商,跳转到OneLogin后进行帐密登录。登录成功后若能够跳转至火山引擎SSO登陆页,登入对应账号的role1身份,则单点登录配置成功。