一、配置腾讯云控制台
角色 SSO
官方文档:https://cloud.tencent.com/document/product/598/30284
- 访问
https://{portal_host}:{portal_port}/api/idp/metadata
,其中{portal_host}:{portal_port}
请替换为飞连管理后台的域名/IP和端口,保存网页内容为.xml
格式的元数据文件到本地。
在腾讯云控制台创建身份提供商
- 访问 腾讯云控制台 ,进入访问管理 > 身份提供商,点击新建提供商。
- 选择「提供商类型」为 SAML,填写提供商名称,并上传【步骤1】中下载的元数据文件,点击下一步,确认信息后点击完成。
- 点击 角色 > 新建角色 > 身份提供商 > 选择FeiLian身份提供商,按需配置角色策略和角色标签,输入角色名称,点击完成。
- 回到角色列表页,点击添加完成的角色名称,查看角色和身份供应商信息,需要回填至飞连管理后台角色的格式为:
qcs::cam::uin/{AccountID}:roleName/{RoleName1},qcs::cam::uin/{AccountID}:saml-provider/{ProviderName1}
- AccountID:为腾讯云账号 id
- RoleName1:角色名称
- ProviderName1:身份供应商名称
用户 SSO
官方文档:https://cloud.tencent.com/document/product/598/61673
- 访问
https://{portal_host}:{portal_port}/api/idp/metadata
,其中{portal_host}:{portal_port}
请替换为飞连管理后台的域名/IP和端口,保存网页内容为.xml
格式的元数据文件到本地。
在腾讯云控制台创建身份提供商
- 访问 腾讯云控制台 ,进入访问管理 > 身份提供商 > 用户SSO,在 SSO 登录设置区域的右上角,点击编辑。
- 打开用户 SSO 开关, SSO 协议选择 SAML,复制 SAML 服务提供商元数据 URL,身份提供商元数据文档:上传第一步中获取的飞连 Metadata,点击保存。
- 访问上一步中复制的 SAML 服务提供商元数据 URL,查看腾讯云 Metadata 数据,并将该数据保存为 .xml 文件。
二、配置飞连管理后台
角色 SSO
添加应用
- 进入飞连管理后台,选择应用接入,单击应用市场,选择腾讯云角色SSO。
- 填写基本信息应用名称(必填)、应用地址、应用描述,在应用功能区域,配置方式选择“文件配置”,上传在腾讯云控制台中获取到的Metadata文件(获取地址: 腾讯云Metadata),点击确定。
创建角色
- 进入飞连管理后台,选择身份管理 > 角色管理,点击自定义新建,按照以下格式新建角色:
其中各变量说明如下:
- {AccountID}:腾讯云账号的ID。
- {RoleName1}:腾讯云的角色名称。
- {ProviderName1}:腾讯云的身份提供商名称。
qcs::cam::uin/{AccountID}:roleName/{RoleName1},qcs::cam::uin/{AccountID}:saml-provider/{ProviderName1}
- 添加成员至该角色
- 点击应用授权,将添加的角色赋予权限。
- 访问IdP地址,体验登录。
用户 SSO
添加应用
- 进入飞连管理后台,选择应用接入 ,单击自建应用,选择SAML类型。
- 填写基本信息应用名称(必填)、应用地址、应用描述,在应用功能区域,配置方式选择“文件配置”,上传第一步在腾讯云控制台中获取到的Metadata文件,点击确定。
添加扩展字段(v3.0.x版本已内置,无需添加)
- 进入飞连管理后台,选择身份管理 > 账号配置,点击高级配置,在右侧点击添加字段。
- 添加以下字段,并点击确定。
• 字段 KEY:填写 username
• 字段名称:填写邮箱前缀
• 字段类型:选择 表达式
• 字段值:填写 #prefix($user.email,'@')
• 是否必填:选择必填
- 在组织架构 > 部门与成员页面,点击指定用户。在用户的基本信息页签,查看邮箱前缀扩展字段。
说明
该邮箱前缀需要和腾讯云用户列表中的用户名称相匹配。关于如何创建腾讯云子用户,请参见新建子用户。
映射关系配置
进入应用接入列表,选择该应用,点击单点登录,将映射关系修改为以下内容。
- 飞连字段:选择邮箱前缀。
- 应用字段:添加并使用 app_user_id 属性。
访问地址
通过飞连门户首页或者飞连客户端访问腾讯云应用。
如果是首次登录,则您需要根据页面提示完善信息。
登录腾讯云后,您可以查看到子用户登录地址。