You need to enable JavaScript to run this app.
导航
飞连
  • 文档首页
    • /飞连/管理员指南/应用管理/应用接入/应用对接示例/为腾讯云应用配置 SSO (SAML协议)
为腾讯云应用配置 SSO (SAML协议)
最近更新时间:2024.09.06 14:33:06首次发布时间:2024.09.06 14:33:06
我的收藏

一、配置腾讯云控制台

角色 SSO

官方文档:https://cloud.tencent.com/document/product/598/30284

获取飞连Metadata文件

  • 访问https://{portal_host}:{portal_port}/api/idp/metadata,其中{portal_host}:{portal_port}请替换为飞连管理后台的域名/IP和端口,保存网页内容为.xml格式的元数据文件到本地。

在腾讯云控制台创建身份提供商

  1. 访问 腾讯云控制台 ,进入访问管理 > 身份提供商,点击新建提供商

图片

  1. 选择「提供商类型」为 SAML,填写提供商名称,并上传【步骤1】中下载的元数据文件,点击下一步,确认信息后点击完成。

图片
图片

  1. 点击 角色 > 新建角色 > 身份提供商 > 选择FeiLian身份提供商,按需配置角色策略和角色标签,输入角色名称,点击完成。

图片
图片
图片
图片

  1. 回到角色列表页,点击添加完成的角色名称,查看角色和身份供应商信息,需要回填至飞连管理后台角色的格式为:

qcs::cam::uin/{AccountID}:roleName/{RoleName1},qcs::cam::uin/{AccountID}:saml-provider/{ProviderName1}

  • AccountID:为腾讯云账号 id
  • RoleName1:角色名称
  • ProviderName1:身份供应商名称

图片
图片

用户 SSO

官方文档:https://cloud.tencent.com/document/product/598/61673

获取飞连Metadata文件

  • 访问https://{portal_host}:{portal_port}/api/idp/metadata,其中{portal_host}:{portal_port}请替换为飞连管理后台的域名/IP和端口,保存网页内容为.xml格式的元数据文件到本地。

在腾讯云控制台创建身份提供商

  1. 访问 腾讯云控制台 ,进入访问管理 > 身份提供商 > 用户SSO,在 SSO 登录设置区域的右上角,点击编辑

图片

  1. 打开用户 SSO 开关, SSO 协议选择 SAML,复制 SAML 服务提供商元数据 URL,身份提供商元数据文档:上传第一步中获取的飞连 Metadata,点击保存。

图片

  1. 访问上一步中复制的 SAML 服务提供商元数据 URL,查看腾讯云 Metadata 数据,并将该数据保存为 .xml 文件。

二、配置飞连管理后台

角色 SSO

添加应用

  1. 进入飞连管理后台,选择应用接入,单击应用市场,选择腾讯云角色SSO

图片
图片

  1. 填写基本信息应用名称(必填)、应用地址、应用描述,在应用功能区域,配置方式选择“文件配置”,上传在腾讯云控制台中获取到的Metadata文件(获取地址: 腾讯云Metadata),点击确定

图片

创建角色

  1. 进入飞连管理后台,选择身份管理 > 角色管理,点击自定义新建,按照以下格式新建角色:
    其中各变量说明如下:
    • {AccountID}:腾讯云账号的ID。
    • {RoleName1}:腾讯云的角色名称。
    • {ProviderName1}:腾讯云的身份提供商名称。
qcs::cam::uin/{AccountID}:roleName/{RoleName1},qcs::cam::uin/{AccountID}:saml-provider/{ProviderName1}

图片
图片

  1. 添加成员至该角色

图片

  1. 点击应用授权,将添加的角色赋予权限。

图片

  1. 访问IdP地址,体验登录。

图片

用户 SSO

添加应用

  1. 进入飞连管理后台,选择应用接入 ,单击自建应用,选择SAML类型。

图片
图片

  1. 填写基本信息应用名称(必填)、应用地址、应用描述,在应用功能区域,配置方式选择“文件配置”,上传第一步在腾讯云控制台中获取到的Metadata文件,点击确定

图片

添加扩展字段(v3.0.x版本已内置,无需添加)

  1. 进入飞连管理后台,选择身份管理 > 账号配置,点击高级配置,在右侧点击添加字段

图片

  1. 添加以下字段,并点击确定

字段 KEY:填写 username
字段名称:填写邮箱前缀
字段类型:选择 表达式
字段值:填写 #prefix($user.email,'@')
是否必填:选择必填
图片

  1. 组织架构 > 部门与成员页面,点击指定用户。在用户的基本信息页签,查看邮箱前缀扩展字段。

    说明

    邮箱前缀需要和腾讯云用户列表中的用户名称相匹配。关于如何创建腾讯云子用户,请参见新建子用户

图片
图片

映射关系配置

进入应用接入列表,选择该应用,点击单点登录,将映射关系修改为以下内容。

  • 飞连字段:选择邮箱前缀。
  • 应用字段:添加并使用 app_user_id 属性。

图片

访问地址

通过飞连门户首页或者飞连客户端访问腾讯云应用。
图片
图片
如果是首次登录,则您需要根据页面提示完善信息。
图片
登录腾讯云后,您可以查看到子用户登录地址。
图片