企业与天翼云进行用户SSO时,天翼云是服务提供商(SP),企业的身份管理系统则是身份提供商(IdP),企业内部的员工可以通过基于SAML协议的单点登录,以天翼云用户的身份访问天翼云。
操作步骤
为了实现企业用户SSO,需要分别在天翼云和企业IdP中完成配置,以确定企业用户和天翼云互信与用户映射关系。在配置完成后,企业用户可以在浏览器中以天翼云用户的身份登录到天翼云。
天翼云配置
天翼云IAM配置企业IdP的操作如下:
-
使用天翼云账号登录到统一身份认证控制台。
-
在左侧导航栏,选择身份提供商管理。
-
单击右上角的创建身份提供商,配置身份提供商的相关信息。
- 协议:目前支持SAML协议。
- 类型:目前支持IAM用户SSO。
- 名称:配置当前身份提供商名称。
- 元数据文档:上传企业IdP提供的元数据文件。元数据文件由企业IdP提供,目前支持上传XML格式的文件,元数据文件需要包含以下信息。
属性 说明 entityID IdP方实体ID SingleSignOnService IdP登录接收请求的地址,接收SAMLRequest请求的地址 SingleLogoutService IdP登出接收请求的地址 X509Certificate IdP对报文进行加密所对应的公钥
4. 单击确定。
企业IdP配置
企业IdP的配置如下:
- 使用天翼云账号登录到统一身份认证控制台。
- 在左侧导航栏,选择身份提供商管理。
- 点击上方“在企业方配置时,请使用天翼云 SAML 服务提供商元数据”后的点击查看。使用该页面对应的URL,或保存打开的XML文件为天翼云SP元数据文件。
- 在企业IdP中新建一个SAML SP,选择步骤3获取的URL或元数据文件进行配置。
- 在企业IdP中配置SAML响应。
在完成天翼云和企业IdP的配置后,企业IdP用户可以通过天翼云提供的身份提供商登录地址完成到天翼云的登录。
