You need to enable JavaScript to run this app.
导航
腾讯云 SSO
最近更新时间:2024.10.25 14:59:01首次发布时间:2024.09.06 14:33:06

本文介绍如何在飞连管理后台使用 SAML 协议为腾讯云启用单点登录 (SSO),实现用户通过飞连直接访问腾讯云,无需输入账号和密码。

使用说明

腾讯云应用支持两种单点登录管理方式:角色 SSO 和用户 SSO。本文将结合角色 SSO 和用户 SSO 依次介绍如何在飞连管理后台实现飞连与腾讯云应用的互联。

角色 SSO

一、配置腾讯云控制台

官方文档:https://cloud.tencent.com/document/product/598/30284

获取飞连Metadata文件

  • 访问https://{portal_host}:{portal_port}/api/idp/metadata,其中{portal_host}:{portal_port}请替换为飞连管理后台的域名/IP和端口,保存网页内容为.xml格式的元数据文件到本地。

在腾讯云控制台创建身份提供商

  1. 访问 腾讯云控制台 ,进入访问管理 > 身份提供商,点击新建提供商

Image

  1. 选择提供商类型SAML,填写提供商名称,并上传【步骤1】中下载的元数据文件,点击下一步,确认信息后点击完成。

Image
Image

  1. 点击 角色 > 新建角色 > 身份提供商 > 选择FeiLian身份提供商,按需配置角色策略和角色标签,输入角色名称,点击完成。

Image
Image
Image
Image

  1. 回到角色列表页,点击对应的角色名称,查看角色和身份供应商信息,需要回填至飞连管理后台角色的格式为:

qcs::cam::uin/{AccountID}:roleName/{RoleName1},qcs::cam::uin/{AccountID}:saml-provider/{ProviderName1}

  • AccountID:为腾讯云账号 ID
  • RoleName1:角色名称
  • ProviderName1:身份供应商名称

Image
Image

二、配置飞连管理后台

添加应用

  1. 进入飞连管理后台,选择应用接入,单击应用市场,选择腾讯云角色SSO
    Image

    Image

  2. 填写基本信息应用名称(必填)、应用地址、应用描述,在应用功能区域,配置方式选择“文件配置”,上传在腾讯云控制台中获取到的Metadata文件(获取地址: 腾讯云Metadata),点击确定
    Image

创建角色

  1. 进入飞连管理后台,选择身份管理 > 角色管理,在角色列表底部单击自定义新建。角色名称的格式如下:

    qcs::cam::uin/{AccountID}:roleName/{RoleName1},qcs::cam::uin/{AccountID}:saml-provider/{ProviderName1}
    

    其中各变量说明如下:

    • {AccountID}:腾讯云账号的ID。
    • {RoleName1}:腾讯云的角色名称。
    • {ProviderName1}:腾讯云的身份提供商名称。
      Image
  2. 点击应用授权页签,为添加的角色赋予权限。
    Image

  3. 访问IdP地址,体验登录。
    Image

用户 SSO

一、配置腾讯云控制台

官方文档:https://cloud.tencent.com/document/product/598/61673

获取飞连Metadata文件

访问https://{portal_host}:{portal_port}/api/idp/metadata,其中{portal_host}:{portal_port}请替换为飞连管理后台的域名/IP和端口,保存网页内容为.xml格式的元数据文件到本地。

在腾讯云控制台创建身份提供商

  1. 访问 腾讯云控制台 ,进入访问管理 > 身份提供商 > 用户SSO,在 SSO 登录设置区域的右上角,点击编辑

Image

  1. 打开用户 SSO 开关, SSO 协议选择 SAML,复制 SAML 服务提供商元数据 URL,身份提供商元数据文档:上传第一步中获取的飞连 Metadata,点击保存。

Image

  1. 访问上一步中复制的 SAML 服务提供商元数据 URL,查看腾讯云 Metadata 数据,并将该数据保存为 .xml 文件。

二、配置飞连管理后台

添加应用

  1. 进入飞连管理后台,选择应用接入 ,单击自建应用,选择SAML类型。

Image
Image

  1. 填写基本信息应用名称(必填)、应用地址、应用描述,在应用功能区域,配置方式选择“文件配置”,上传第一步在腾讯云控制台中获取到的Metadata文件,点击确定

Image

(可选)添加扩展字段(v3.0.x版本已内置,无需添加)

  1. 进入飞连管理后台,选择身份管理 > 账号配置,点击高级配置,在右侧点击添加字段

Image

  1. 添加以下字段,并点击确定

字段 Key:填写 username
字段名称:填写邮箱前缀
字段类型:选择 表达式
表达式:填写 #prefix($user.email,'@')
是否必填:选择必填
Image

  1. 组织架构 > 部门与成员页面,点击指定用户。在用户的基本信息页签,查看邮箱前缀扩展字段。

    说明

    邮箱前缀需要和腾讯云用户列表中的用户名称相匹配。关于如何创建腾讯云子用户,请参见新建子用户

Image
Image

配置映射关系

进入应用接入列表,选择该应用,点击单点登录,将映射关系修改为以下内容。

  • 飞连字段:选择邮箱前缀。
  • 应用字段:添加并使用 app_user_id 属性。

Image

尝试访问

  1. 通过飞连门户首页或者飞连客户端访问腾讯云应用。

Image
Image

  1. 如果是首次登录,则您需要根据页面提示完善信息。

Image

  1. 登录腾讯云后,您可以查看到子用户登录地址。

Image