云管平台SCP

深信服云计算平台(Sangfor Cloud Platform)向下统一管理多数据中心、向上以服务目录的形式提供laas、Paas、大数据服务,为用户提供省时省事、平滑弹性、安全可靠、业务承载丰富的云计算集成平台,助力企业数据中心云化演进。
点击可切换产品版本
知道了
不再提醒
SCP6.9.1R1
{{sendMatomoQuery("云管平台SCP","SCP作为身份提供商")}}

SCP作为身份提供商

更新时间:2023-12-07

功能说明

SCP支持配置SAML 2.0协议的服务提供商,此时SCP作为身份提供商。配置完成后,租户和租户子账户可以通过单点登录访问第三方服务。

注意事项

  1. 仅支持为租户创建服务提供商,每个租户最多创建10个,全平台最多创建500个。
  2. SCP作为身份提供商,仅提供HTTP-POSTHTTP-Redirect两种类型的Issuer入口,仅支持HTTP-POST类型的服务提供商。
  3. SCP存在主备,主备切换后需重新配置服务提供商。

前提条件

  1. 已获取到目标服务提供商的元数据文档。
  2. 客户端可以同时正常访问SCP和目标服务提供商。

操作步骤(此处以阿里云作为服务提供商SP为例)

  1. 登录阿里云控制台,获取元数据文档。

  1. 管理员登录SCP平台,进入[服务提供商]页面,为阿里云创建服务提供商。点击<创建>按钮,在弹出页面,输入名称,选择所属租户。
  2. 在“上传元数据文档”中选择“上传已有文件”,上传从阿里云获取的元数据文档。

注意

对于第三方服务提供商,如果提供了元数据文档,请选择“上传已有文件”。否则需要手动填写服务提供商的受众和ACS URL

  1. 配置用户属性映射,对接服务提供商用户属性,这里“值”选择“自定义输入”,填写阿里云“用户登录名称”。

对于其他第三方服务提供商,需要获取:

<服务提供商用户属性>SAML2断言中对用户的描述字段名,其中默认的nameID将被放到SAML2断言的Subject中。

<>SAML2断言中对用户的描述字段。来源可以选择动态的NameEmail,此时该值将会在用户登录时被用户的对应属性实时填充;选择自定义输入时,该值将会被固定为后面输入框的配置内容。

<格式>:服务提供商可能对用户属性的格式有要求,需与目标服务提供商确认后配置此项。

这里根据服务提供商账号属性,可添加多条用户属性,最多支持添加20条用户属性。

  1. 创建成功后,下载身份提供商元数据文档及证书,后续也可以在[身份提供商]列表点击名称,进入详情页面下载。

这里的元数据文档中包含证书信息,阿里云不需要单独提供证书,则只需下载身份提供商元数据文档即可。有些第三方服务提供商可能需要单独提供证书,则可在此处下载获取。

  1. 回到阿里云控制台,上传身份提供商元数据文档,添加SCP作为身份提供商。

  1. 设置访问授权。

SCP管理员登录[用户与访问管理/用户]界面,创建需要进行单点登录的租户和租户子账户。

创建用户组(可选),将多个租户或租户子账户加入用户组,实现对用户组内的用户批量授权。

进入[用户与访问管理/用户组],可进行用户组创建, 创建完成后点击<管理组成员>即可实现用户组成员的增删。

进入[服务提供商]界面,找到“阿里云”的记录,点击<访问授权>,选择需要授权的用户与用户组。

  1. 配置完成后,在阿里云控制台的[概览]页面,获取用户登录地址,复制到浏览器后,点击<启用企业账号登录>,即可跳转到SCP实现单点登录。