You need to enable JavaScript to run this app.
导航
飞连
  • 文档首页
    • /飞连/管理员指南/应用管理/应用接入/应用对接示例/火山引擎 SSO
火山引擎 SSO
最近更新时间:2024.10.25 14:59:01首次发布时间:2024.09.06 14:33:06
我的收藏

本文介绍如何在飞连管理后台使用 SAML 协议为火山引擎启用单点登录 (SSO),实现用户通过飞连直接访问火山引擎,无需输入账号和密码。

说明

  • 角色SSO:指建立信任身份为对应IdP的角色并完成IdP与SP双方互信配置后,当企业IdP用户登录,该用户通过扮演IdP发送的SAML断言中指定的可用IAM角色进行火山引擎资源的访问。访问的权限范围在该IAM角色权限范围内。
  • 用户SSO:指完成IdP与SP双方互信配置后,当企业IdP用户登录,火山引擎通过IdP发送的SAML断言建立IdP用户与火山引擎IAM用户之间的对应关系,企业IdP用户即可通过对应的IAM用户进行火山引擎资源的访问。访问的权限范围在该IAM用户权限范围内。
  • 火山引擎单点登录介绍:https://www.volcengine.com/docs/6257/128946

角色SSO

火山引擎控制台配置

获取飞连Metadata文件

  • 访问https://{portal_host}:{portal_port}/api/idp/metadata,其中{portal_host}:{portal_port}请替换为飞连管理后台的域名/IP和端口,并保存网页内容为.xml格式的元数据文件到本地。

添加身份提供商

  1. 登录火山引擎控制台界面,在右上角选择设置 > 访问控制

Image

  1. 在访问控制列表页,选择身份提供商,在右侧单击新建身份提供商

Image

  1. SSO 类型选择角色SSO,填写身份供应商名称 ,上传第一步中获取的飞连 Metadata 元数据文件。

Image

  1. 浏览器打开URL,将文件下载到本地。
  1. 选择角色 > 新建角色 > 身份提供商,选择 FeiLian 身份提供商。

Image

  1. 给角色命名,并且添加权限,后续该名字需要与飞连中的配置保持一致。

飞连管理后台配置

添加应用

  1. 进入飞连管理后台,选择应用接入 > 自建应用,选择 SAML 类型。

Image
Image

  1. 填写基本信息,应用名称(必填)、应用地址、应用描述,在应用功能区域,配置方式选择文件配置,上传第一步在火山引擎控制台中获取到的 Metadata 文件,点击确定

Image

创建角色

  1. 进入飞连管理后台,选择身份管理 > 角色管理,单击角色列表底部的自定义新建
    Image
  2. 添加角色页面配置相关参数。
    Image

配置项

说明

角色名称

角色名称的格式如下:

trn:iam::{用户ID}:role/{火山引擎中的角色名称},trn:iam::{用户ID}:saml-provider/{火山引擎中的身份提供商名称}

两个字符串中间用英文逗号分隔。

角色类型

选择静态角色

角色范围

角色范围是指该角色包括哪些成员,您可以选择指定的员工或部门。

配置映射关系

  1. 在左侧导航栏选择应用接入,单击应用名称,单击单点登录页签。

  2. 单击映射关系右侧的编辑,单击添加映射,在应用字段下拉列表中单击添加扩展字段。添加如下两个字段。
    Image

    配置项

    应用字段的值

    应用字段的值

    字段 Key

    https://www.volcengine.com/SAML/Attributes/Identity

    https://www.volcengine.com/SAML/Attributes/SessionName

    字段名称

    角色名称

    姓名

    字段类型

    字符串

    字符串

  3. 配置飞连字段和应用字段的映射关系,具体如下图所示。
    Image

  4. 单击应用授权页签,单击添加角色,选择前面添加的角色,为该角色赋予权限。
    Image

尝试登录

  1. 访问IdP地址,体验单点登录。

Image

用户SSO

火山引擎控制台配置

获取飞连Metadata文件

  • 访问https://{portal_host}:{portal_port}/api/idp/metadata,其中{portal_host}:{portal_port}请替换为飞连管理后台的域名/IP和端口,并保存网页内容为.xml格式的元数据文件到本地。

添加身份提供商

  1. 登录火山引擎控制台界面,在右上角选择设置 > 访问控制

Image

  1. 在访问控制列表页,选择身份提供商,在右侧单击新建身份提供商

Image

  1. SSO 类型选择角色SSO,填写身份供应商名称 ,上传第一步中获取的飞连 Metadata 元数据文件。

Image

  1. 浏览器打开URL,将文件下载到本地。
  1. 选择角色 > 新建角色 > 身份提供商,选择 FeiLian 身份提供商。

Image

  1. 给角色命名,并且添加权限,后续该名字需要与飞连中的配置保持一致。

创建用户

进入火山控制台,选择身份管理 > 用户,单击新建用户,需要保证火山引擎中账号与飞连中一致。
Image

飞连管理后台配置

添加应用

  1. 进入飞连管理后台,选择应用接入 > 自建应用,选择 SAML 类型。
    Image
    Image
  2. 填写基本信息,应用名称(必填)、应用地址、应用描述,在应用功能区域,配置方式选择文件配置,上传第一步在火山引擎控制台中获取到的 Metadata 文件,点击确定
    Image

扩展信息

设置会话时长

  1. 进入飞连管理后台

  2. 选择身份管理 > 账号配置 > 高级配置,单击添加字段

    配置项

    字段的值

    字段 Key

    SessionDuration

    字段名称

    会话时长属性

    字段类型

    数字

    默认值

    请输入超时时长,单位为秒,取值范围:900 ~ 43200。

  3. 配置映射关系,增加会话时长属性映射。

    1. 在左侧导航栏选择应用接入,单击应用名称,单击单点登录页签。
    2. 单击映射关系右侧的编辑,单击添加映射,在应用字段下拉列表中单击添加扩展字段
      Image
    3. 飞连字段选择上一步中已创建的字段,应用字段设置如下。

    配置项

    应用字段的值

    字段 Key

    https://www.volcengine.com/SAML/Attributes/SessionDuration

    字段名称

    会话时长属性

    字段类型

    字符串

    Image