You need to enable JavaScript to run this app.
导航
使用OneLogin进行角色SSO的示例
最近更新时间:2022.12.23 14:57:14首次发布时间:2022.10.08 19:51:50
目标

企业在OneLogin中维护了自己的多个员工身份,对应多个OneLogin用户,希望能够将其对应访问到火山引擎账号下的角色role1。本示例中,在OneLogin有用户user1,希望能够通过角色SSO单点登录配置,user1从OneLogin直接跳转火山引擎登录页面以角色role1身份单点登录到火山引擎账号,行使角色对应的权限。

操作

步骤一:在火山引擎控制台获取SAML服务提供商(SP)元数据

  1. 登录您火山引擎账号的访问控制(IAM)控制台。

  2. 身份管理-身份提供商处上方提示条复制SAML服务商提供元数据URL。

  3. 打开复制的URL,将XML文件存储到本地。

步骤二:创建新的OneLogin应用

OneLogin作为身份提供商(IdP),需要以“应用”的形式感知服务提供商火山引擎,实现单点登录。为此需要在OneLogin处创建对应火山引擎的应用。

  1. 使用管理员用户登录OneLogin

  2. 在顶部导航的Applications tab下,点击右上角Add App,创建一个新的应用程序。

  3. 在Find Applications页面,搜索SAML Test Connector,选择SAML Test Connector (Advanced)

  4. Add SAML Test Connector (Advanced) 页面,配置应用程序的基本信息,此示例中可以填写Display Name为“VolcineDemo”,该名称仅用作在IdP处展示,然后单击Save

  5. 在左边导航栏的Info页面中,鼠标悬浮在页面右上角More Actions,点击SAML Metadata,下载身份提供商(IdP)元数据文件,并将其保存在本地计算机上。

步骤三:在OneLogin中创建用户并分配给应用

此步骤定义在OneLogin中,有权访问VolcineDemo应用的OneLogin用户或用户组。

  1. 点击页面顶部导航Users-Users,点击右上角New User

  2. 配置用户user1基本信息后,点击右上角Save User

  3. 点击该用户页面左侧导航Applications,点击右侧加号,选择VolcineDemo应用,点击Continue,添加。

步骤四:在火山引擎创建角色SSO身份提供商

  1. 登录您火山引擎账号的访问控制(IAM)控制台。

  2. 身份管理-身份提供商处,点击新建身份提供商,选择角色SSO,并填写身份提供商名称为OneLogin_role,并将步骤二中获取的IdP Metadata元数据文件上传,点击提交

步骤五:在火山引擎创建IAM角色

在访问控制,身份管理-角色中点击新建角色,新建火山引擎账号下的角色role1并配置相应权限。

  1. 选择信任身份为:身份提供商,身份提供商类型为SAML,并选择步骤四中建立的身份提供商OneLogin_role。

  2. 配置角色信息:输入角色名称、显示名和描述。请注意,此处会作为单点登录后登录身份的名称显示在官网身份栏,建议您按照实际工作的角色名称命名,如admin、ITservice等。本示例中以role1示意。

  3. 添加权限:您可以为角色添加IAM权限策略,同时指定权限策略的作用范围。

点击提交,创建完毕。

步骤六:完成OneLogin应用的SAML配置

接下来需要为IdP配置基于SAML的单点登录。

  1. 在刚刚创建的应用程序VolcineDemo的页面,点击左侧导航的Configuration

  2. Audience(EntityID)RecipientACS (Consumer) URL ValidatorACS(Consumer) URL填成SP Metadata文件中Location的值,即 https://signin.volcengine.com/saml/sso。

  3. 其余字段保持默认,点击Save

  4. 点击左侧导航的Parameters,点击页面右侧加号,配置Filed name为:https://www.volcengine.com/SAML/Attributes/Identity,点击Save,下一步中Value配置为Macro,自定义为要登录的角色或用户的trn,需要登录几个角色或用户就配置几条身份属性声明。本示例中,源属性值需要配置为:trn:iam::2100036560:role/role1,trn:iam::2100036560:saml-provider/OneLogin_role,其中OneLogin_role为步骤四中创建的身份提供商名称。点击Save

  5. 再次点击页面右侧加号,配置Filed name为:https://www.volcengine.com/SAML/Attributes/SessionName,点击Save,下一步中Value配置为Macro,自定义为常值即可,仅用作记录和展示。点击Save


结果验证

完成SSO登录配置后,您可以验证从OneLogin发起单点登录。
以user1身份登录OneLogin后,直接进入门户或点击左上角的OneLogin图标,在应用管理列表中中选择VolcineDemo。若能够跳转至火山引擎SSO登录页、登入对应账号的role1身份,则单点登录配置成功。

或在火山引擎的登录页面中选择“企业联邦登录”登录方式,输入账号名或ID后选择OneLogin对应身份提供商,跳转到OneLogin后进行帐密登录。登录成功后若能够跳转至火山引擎SSO登陆页,登入对应账号的role1身份,则单点登录配置成功。