导航
为火山引擎应用配置 SSO (SAML协议)
最近更新时间:2024.09.06 14:33:06首次发布时间:2024.09.06 14:33:06
说明
- 角色SSO:指建立信任身份为对应IdP的角色并完成IdP与SP双方互信配置后,当企业IdP用户登录,该用户通过扮演IdP发送的SAML断言中指定的可用IAM角色进行火山引擎资源的访问。访问的权限范围在该IAM角色权限范围内。
- 用户SSO:指完成IdP与SP双方互信配置后,当企业IdP用户登录,火山引擎通过IdP发送的SAML断言建立IdP用户与火山引擎IAM用户之间的对应关系,企业IdP用户即可通过对应的IAM用户进行火山引擎资源的访问。访问的权限范围在该IAM用户权限范围内。
- 火山引擎单点登录介绍:https://www.volcengine.com/docs/6257/128946
角色SSO
火山引擎控制台配置
获取飞连Metadata文件
- 访问
https://{portal_host}:{portal_port}/api/idp/metadata,其中{portal_host}:{portal_port}请替换为飞连管理后台的域名/IP和端口,并保存网页内容为.xml格式的元数据文件到本地。
在火山引擎控制台添加身份提供商
- 进入到火山引擎控制台界面,设置 → 访问控制。
- 在访问控制列表页,选择“身份提供商”,在右侧点击“”新建身份提供商“”。
- 选择 角色SSO → 填写身份供应商名称 → 上传第一步中获取的飞连Metadata元数据文件。
- 浏览器打开URL,将文件下载到本地。
- 点击 角色 → 新建角色 → 身份提供商 → 选择FeiLian身份提供商。
- 给角色命名,并且添加权限,后续该名字需要与飞连中的配置保持一致。
飞连管理后台配置
添加应用
- 进入飞连管理后台,选择「应用接入」- 「自建应用」,选择SAML类型。
- 填写基本信息「应用名称(必填)」、「应用地址」、「应用描述」,在「应用功能」- 「单点登录」- 「配置方式」选择“文件配置”,上传第一步在火山引擎控制台中获取到的Metadata文件,点击确定。
创建角色
- 进入飞连管理后台,选择「身份管理」-「角色管理」,点击「自定义新建」,按照以下格式新建角色:
trn:iam::{用户ID}:role/{火山引擎中的角色名称},trn:iam::{用户ID}:saml-provider/{火山引擎中的身份提供商名称}
- 添加成员至该角色
映射关系配置
- 进入「应用接入」列表,选择该应用,点击「单点登录」,将映射关系修改为以下内容。
角色名称 https://www.volcengine.com/SAML/Attributes/Identity 姓名 https://www.volcengine.com/SAML/Attributes/SessionName
- 点击「应用授权」,将添加的角色赋予权限。
- 访问IdP地址,体验登录。
用户SSO
火山引擎控制台配置
获取飞连Metadata文件
- 访问
https://{portal_host}:{portal_port}/api/idp/metadata,其中{portal_host}:{portal_port}请替换为飞连管理后台的域名/IP和端口,并保存网页内容为.xml格式的元数据文件到本地。
在火山引擎控制台添加身份提供商
- 进入到火山引擎控制台界面,设置 → 访问控制。
- 在访问控制列表页,选择“身份提供商”,在右侧点击“”新建身份提供商“”。
- 选择 用户SSO → 开启用户SSO → 填写身份供应商名称 → 上传第一步中获取的飞连Metadata元数据文件。
- 浏览器打开URL,将文件下载到本地。
飞连管理后台配置
添加应用
- 进入飞连管理后台,选择「应用接入」- 「自建应用」,选择SAML类型。
- 填写基本信息「应用名称(必填)」、「应用地址」、「应用描述」,在「应用功能」- 「单点登录」- 「配置方式」选择“文件配置”,上传第一步在火山引擎控制台中获取到的Metadata文件,点击确定。
进入火山控制台创建用户
进入火山控制台,选择「身份管理」-「用户」,点击「新建用户」,需要保证火山引擎中账号与飞连中一致。
扩展信息
设置会话时长
- 账号配置 → 高级设置 → 添加字段 → 字段类型选择数字
字段Key: SessionDuration 字段属性: 会话时长属性 字段类型: 数字 默认值: 900-43200之间,单位秒
- 映射关系增加会话时长属性映射
会话时长属性 https://www.volcengine.com/SAML/Attributes/SessionDuration