Skip to content

阿里云配置#

阿里云用户SSO#

登录arkid平台,进入【应用管理】-> 【应用列表】, 点击【添加】按钮, 创建一个名为阿里云用户SSO的应用,应用URL不填
XqCHYV.md.png

登录至阿里云平台,通过头像下拉菜单进入访问控制页面,在SSO管理一栏中选择用户SSO,复制【SAML 服务提供方元数据 URL】并下载该文件
XqCIwn.md.png

在arkid中右侧操作栏点击【配置协议】按钮进入协议配置窗口,选择协议类型为 <b>Saml2SP_AliyunRam </b>,依次填入相关数据
+ sp metadata文件即为上一步下载的数据文件
+ 辅助域名见阿里云文档
XqC7F0.md.png

确认后再次点击【配置协议】按钮,复制IDP entity ID一项的链接下载IDP元数据文件备用
XqCbWT.md.png

再次回到阿里云平台页面,点击编辑用户SSO 上传刚刚下载的IDP元数据文件
XqCLSU.md.png

点击确认,回到arkid统一认证平台桌面,此时点击阿里云用户SSO应用卡片,经几次跳转后即可进入阿里云平台
XqCxm9.md.png

  • 关于域名取值:阿里云提供辅助域名/域别名/默认域名三种方式设置SSO域名,示例中使用辅助域名,其他域名在阿里云上的配置请参考文档
  • 用户SSO需要提前在阿里云上添加,并保持与arkid平台上用户名一致,例如arkid用户admin 对应阿里云平台用户为admin@arkid
    XqCXy4.md.png

阿里云角色SSO#

登录arkid平台,进入【应用管理】-> 【应用列表】, 点击【添加】按钮, 创建一个名为阿里云角色SSO的应用,应用URL不填
Xq9456.md.png

添加完成后在右侧操作栏点击【配置协议】按钮进入协议配置窗口,选择协议类型为 Saml2SP_AliyunRole ,依次填入相关数据
+ sp metadata文件即为准备工作时下载的数据文件
+ Role一项当前没有对应数据,可置为空,此处笔者使用"arkid"占位
Xq9IPK.md.png

配置完成后点击确认,在列表中再次点击【配置协议】按钮进入配置协议弹窗,复制IDP entity ID一项的链接下载IDP元数据文件备用
Xq9o8O.md.png

登录至阿里云平台,经右上角头像下拉菜单进入【访问控制】页面,于【SSO管理】页面选择SAML协议->角色SSO->创建身份提供商,在此处上传上一步中下载的元数据文件,创建完成后点击刚刚创建的身份提供商,在详细页面中找到身份提供商ARN备用
Xq9hUx.md.png
Xq9T2D.md.png

在身份管理->角色一栏中,创建角色,类型选择身份提供商,点击下一步
Xq9bKH.md.png

配置角色时,身份提供商类型选择SAML,身份提供商选择前面创建的身份提供商,点击完成
Xq97xe.md.png

角色创建完成后需对角色进行授权,此处笔者不再赘述

上述步骤完成后,点击刚刚创建的角色,复制角色ARN备用
Xq9qrd.md.png

回到arkid认证平台,在协议配置弹出框中Role一栏填入值,格式为 【角色ARN】,【身份提供商ARN】,注意两个ARN之间由半角(英文)逗号隔开。
Xq9o8O.md.png

返回arkid认证平台桌面,点击阿里云角色SSO应用卡片,经多次跳转后即可以对应角色进入阿里云平台
Xq9XVI.md.png

评论