更新时间:2023-10-20
功能说明
SCP支持配置SAML 2.0协议的服务提供商,此时SCP作为身份提供商。配置完成后,租户和租户子账户可以通过单点登录访问第三方服务。
注意事项
- 仅支持为租户创建服务提供商,每个租户最多创建10个,全平台最多创建500个。
- SCP作为身份提供商,仅提供HTTP-POST和HTTP-Redirect两种类型的Issuer入口,仅支持HTTP-POST类型的服务提供商。
- 若SCP存在主备,主备切换后需重新配置服务提供商。
前提条件
- 已获取到目标服务提供商的元数据文档。
- 客户端可以同时正常访问SCP和目标服务提供商。
操作步骤(此处以阿里云作为服务提供商SP为例)
- 登录阿里云控制台,获取元数据文档。
- 管理员登录SCP平台,进入[服务提供商]页面,为阿里云创建服务提供商。点击<创建>按钮,在弹出页面,输入名称,选择所属租户。
- 在“上传元数据文档”中选择“上传已有文件”,上传从阿里云获取的元数据文档。
注意:
对于第三方服务提供商,如果提供了元数据文档,请选择“上传已有文件”。否则需要手动填写服务提供商的受众和ACS URL。
- 配置用户属性映射,对接服务提供商用户属性,这里“值”选择“自定义输入”,填写阿里云“用户登录名称”。
对于其他第三方服务提供商,需要获取:
• <服务提供商用户属性>:SAML2断言中对用户的描述字段名,其中默认的nameID将被放到SAML2断言的Subject中。
• <值>:SAML2断言中对用户的描述字段。来源可以选择动态的Name、Email,此时该值将会在用户登录时被用户的对应属性实时填充;选择自定义输入时,该值将会被固定为后面输入框的配置内容。
• <格式>:服务提供商可能对用户属性的格式有要求,需与目标服务提供商确认后配置此项。
这里根据服务提供商账号属性,可添加多条用户属性,最多支持添加20条用户属性。
- 创建成功后,下载身份提供商元数据文档及证书,后续也可以在[身份提供商]列表点击名称,进入详情页面下载。
:
这里的元数据文档中包含证书信息,阿里云不需要单独提供证书,则只需下载身份提供商元数据文档即可。有些第三方服务提供商可能需要单独提供证书,则可在此处下载获取。
- 回到阿里云控制台,上传身份提供商元数据文档,添加SCP作为身份提供商。
- 设置访问授权。
• SCP管理员登录[用户与访问管理/用户]界面,创建需要进行单点登录的租户和租户子账户。
• 创建用户组(可选),将多个租户或租户子账户加入用户组,实现对用户组内的用户批量授权。
进入[用户与访问管理/用户组],可进行用户组创建, 创建完成后点击<管理组成员>即可实现用户组成员的增删。
• 进入[服务提供商]界面,找到“阿里云”的记录,点击<访问授权>,选择需要授权的用户与用户组。
- 配置完成后,在阿里云控制台的[概览]页面,获取用户登录地址,复制到浏览器后,点击<启用企业账号登录>,即可跳转到SCP实现单点登录。