AD FS与云SSO进行单点登录的示例
步骤三:在AD FS配置SAML断言属性 在本示例中,为了使阿里云能使用SAML响应定位到正确的云SSO用户,SAML断言中的 NameID 字段取值为AD用户的UPN(User Principal Name)。在信赖方CloudSSODemo上,鼠标右键单击 编辑声明颁发策略。单击 ...
单点登录(SSO)常见问题
更多信息,请参见 用户SSO的SAML响应 中的 NameID元素 和 NameID示例。设置辅助域名,使RAM用户的UPN后缀与企业IdP中的一致。具体操作,请参见 进行用户SSO时阿里云SP的SAML配置。在RAM中没有创建RAM用户,或创建的RAM用户名与IdP中的用户...
用户SSO的SAML响应
本文为您介绍进行用户SSO时SAML响应中必须包含的元素,尤其是SAML断言中的元素。背景信息 在基于SAML 2.0的SSO流程中,当企业用户在IdP登录后,IdP将根据SAML 2.0 HTTP-POST绑定的要求生成包含SAML断言的认证响应,并由浏览器(或程序)...
SSO概览
SSO方式 阿里云提供以下两种SSO方式:用户SSO 阿里云通过IdP颁发的SAML断言确定企业用户与阿里云RAM用户的对应关系。企业用户登录后,使用该RAM用户访问阿里云资源。更多信息,请参见 用户SSO概览。角色SSO 支持基于SAML 2.0和OIDC的两种...
用户SSO概览
配置示例 以下为您提供了常见的企业IdP与阿里云进行用户SSO的配置示例:使用AD FS进行用户SSO的示例 使用Okta进行用户SSO的示例 使用Azure AD进行用户SSO的示例 使用Google Workspace进行用户SSO的示例 使用Shibboleth进行用户SSO的示例
WordPress miniOrange SAML
选择 Attribute/Role Mapping 页签,如下图所示:目前支持的属性映射:WordPress 属性名 IDaaS SAML 断言中的属性名 说明 Email email 如果 IDaaS 中,用户的邮箱存在,则会在SAML断言中,通过 email 属性传递给 WordPress。First Name-暂...
使用域账号登录DMS
以下为您提供了常见的企业IdP(例如:AD FS、Okta和Azure AD)与阿里云进行用户SSO的配置示例:使用AD FS进行用户SSO的示例 使用Okta进行用户SSO的示例 使用Azure AD进行用户SSO的示例 角色SSO:请参见 SAML角色SSO概览。以下为您提供了...
单点登录概述
如果IdP中用户较少,您可以直接在云SSO创建IdP的同名用户,即将SAML断言属性中的 NameID 值设置为云SSO用户的用户名。具体操作,请参见 创建用户。使用企业IdP的用户SSO登录阿里云。配置示例 Azure AD与云SSO进行单点登录的示例 Okta与云...
进行用户SSO时企业IdP的SAML配置
本文主要介绍企业在使用...更多信息,请参见 用户SSO的SAML响应。相关文档 使用AD FS进行用户SSO的示例 使用Okta进行用户SSO的示例 使用Azure AD进行用户SSO的示例 使用Google Workspace进行用户SSO的示例 使用Shibboleth进行用户SSO的示例
基本概念
阿里云提供以下两种SSO方式:用户SSO 阿里云通过IdP颁发的SAML断言确定企业用户与阿里云RAM用户的对应关系。企业用户登录后,使用该RAM用户访问阿里云资源。更多信息,请参见 用户SSO概览。角色SSO 支持基于SAML 2.0和OIDC的两种角色SSO:...
Bitbucket miniOrange SAML
如下图:目前支持的属性映射如下图: Bitbucket 属性名 IDaaS SAML 断言中的属性名 说明 Username username 如果 IDaaS 中,用户的用户名。若单点登录时,Use Name ID对应的不是Usename,则需要单独配置此映射。Full Name displayName ...
进行用户SSO时阿里云SP的SAML配置
关于 NameID 元素的取值,请参见 用户SSO的SAML响应。说明 如果您同时设置了域别名和辅助域名,辅助域名将不会生效。此时,NameID 元素只能使用域别名或默认域名作为后缀。单击 确定。后续步骤 完成SAML配置后,选择以下一种方法创建与企业...
如何调整登录会话时长或临时访问凭证有效期?
更多信息,请参见 角色SSO的SAML响应。SAML断言中 AuthnStatement 元素的 SessionNotOnOrAfter 属性。更多信息,请参见 角色SSO的SAML响应。RAM用户安全策略中的 登录会话的过期时间。更多信息,请参见 管理RAM用户安全设置。被扮演角色的...
角色SSO的SAML响应
本文为您介绍进行角色SSO时SAML响应中必须包含的元素,尤其是SAML断言中的元素。背景信息 在基于SAML 2.0的SSO流程中,当企业用户在IdP登录后,IdP将根据SAML 2.0 HTTP-POST绑定的要求生成包含SAML断言的认证响应,并由浏览器(或程序)...
设置一个EIAM应用的单点登录SSO配置
SpSsoAcsUrl string 否 应用(SP)的 SAML 断言消费地址。https://signin.aliyun.com/saml-role/sso SpEntityId string 否 应用(SP)的 SAML 的 EntityId。urn:alibaba:cloudcomputing NameIdFormat string 否 SAML 协议标准的 NameID ...
SAML 2.0 SSO 配置
IDaaS 侧配置字段说明 字段 说明 举例 基本配置(必填)单点登录地址 ACS URL 应用的 SAML SSO 核心地址,与 IDaaS 交互处理单点登录请求。https://signin.example.com/1021*4813/saml/SSO 应用唯一标识 SP Entity ID 应用在 IDaaS 中的...
开启角色SSO
规则详情 参数 说明 规则名称 开启角色SSO 规则标识 ram-role-sso-saml-enabled 标签 SSO,RAM,User 自动修正 不支持 规则触发机制 周期执行 触发频率 24小时 规则支持的资源类型 全部资源 规则入参 无 修正指导 开启基于SAML的角色SSO。...
查询一个EIAM应用的单点登录SSO配置
SpSsoAcsUrl string 应用(SP)的 SAML 断言消费地址。https://signin.aliyun.com/saml-role/sso SpEntityId string 应用(SP)的 SAML 的 EntityId。urn:alibaba:cloudcomputing NameIdFormat string SAML 协议标准的 NameID 格式,取值可...
使用AD FS进行用户SSO的示例
本文提供一个以AD FS与阿里云进行用户SSO的示例,帮助您理解企业IdP与阿里云进行SSO的端到端配置流程。本文以在Windows Server 2012 R2 ECS实例上搭建的AD FS为例进行介绍。准备工作 配置SSO登录前,您需要完成以下工作:在Windows Server ...
基本概念
本文为您介绍云SSO的基本概念。概念 说明 目录 目录是云SSO的实例。使用云SSO必须首先创建一个目录,所有云SSO资源都必须在目录中维护。您需要选择一个地域作为云SSO目录的所在地域。阿里云确保您目录中的所有数据只会被保存在该地域,以...
基本概念
阿里云提供以下两种基于SAML 2.0协议的SSO方式:用户SSO:阿里云通过IdP颁发的SAML断言确定企业用户与阿里云RAM用户的对应关系。企业用户登录后,使用该RAM用户访问阿里云。角色SSO:阿里云通过IdP颁发的SAML断言确定企业用户在阿里云上...
SAML角色SSO概览
IdP生成一个SAML响应,其中包含关于登录用户的SAML断言,并将此响应返回给程序。程序调用阿里云STS服务提供的API AssumeRoleWithSAML,并传递以下信息:阿里云中身份提供商的ARN、要扮演的角色的ARN以及来自企业IdP的SAML断言。STS服务将...
通过对接外部LDAP登录云原生AI控制台
如果您的IdP是Azure AD,则关于如何使用Azure AD进行用户SSO的示例,请参见 使用Azure AD进行用户SSO的示例。方法三:LDAP用户通过RAM对接OpenLDAP登录AI运维控制台 OpenLDAP自身不支持SAML协议,不能作为独立IdP对外提供认证服务,所以...
API概览
单点登录(SSO)管理 API 标题 API概述 SetUserSsoSettings 设置用户SSO身份提供商信息 设置用户SSO的身份提供商信息。GetUserSsoSettings 查询用户SSO身份提供商信息 查询用户SSO身份提供商配置信息。CreateSAMLProvider 创建角色SSO身份...
使用Google Workspace进行用户SSO的示例
本文提供一个以Google Workspace与阿里云进行用户SSO的示例,帮助您理解企业IdP与阿里云进行SSO的端到端配置流程。步骤一:在阿里云获取SAML服务提供商元数据 使用阿里云账号登录 RAM控制台。在左侧导航栏,选择 集成管理>SSO管理。在 SSO...
企业账号与云效账号打通
RAM 用户 SSO参考 RAM 文档,需要企业侧准备好支持 SAML 2.0 的企业身份提供商。创建 RAM 用户参考 RAM 文档,可以手动创建,也可以通过 API 创建。配置云效企业设置 RAM 用户同步在云效企业管理后台的成员配置功能里,设置自动同步阿里云 ...
云SSO海外访问加速
您的目标用户在中国内地以外的地域访问云SSO,或您的身份提供商(IdP)部署在中国内地以外的地域,SCIM同步需要从IdP传输数据到目录所在地域,为了保证云SSO的用户从海外地域访问云SSO的稳定性,您可以启用加速域名。该功能不向您额外收取...
概述
关于如何基于SAML配置SSO的 具体操作,请参见 基于SAML配置SSO。无影终端 限制 以下 无影终端 支持SSO:Windows客户端 macOS客户端 Web客户端 iOS客户端 Android客户端 盒式云电脑终端AS01 无影魔方AS05 无影23.8寸一体机US01 使用场景 您...
在RD账号上授权
本文将提供一个示例,为云SSO的用户(user1)在RD成员账号(Sandbox Account)上部署访问配置,该访问配置仅定义了VPC的访问权限,实现云SSO的用户(user1)仅能访问RD成员账号(Sandbox Account)中的VPC资源。前提条件 请确保您已创建了...
什么是云SSO
云SSO支持基于SAML 2.0协议的企业级单点登录,只需要在云SSO和企业身份管理系统中进行一次性地简单配置,即可完成单点登录配置。统一配置所有用户对RD账号的访问权限 借助与RD的深度集成,在云SSO中您可以统一配置用户或用户组对整个RD内的...
使用云SSO统一管理企业多账号的身份和权限
本文将提供一个示例,使用RD管理账号在云SSO中创建一个用户(user1),在RD成员(Sandbox Account)上部署访问配置,该访问配置仅定义了VPC的管理权限,实现云SSO的用户(user1)仅能访问RD成员(Sandbox Account)中的VPC资源。...
ES单点登录认证
背景信息 在安全断言标记语言SAML中,Elasticsearch和Kibana作为服务提供者SP(Service Provider),支持SAML 2.0 协议的Web浏览器SSO和SAML 2.0 Single Logout配置,使您能够使用任何符合SAML 2.0 的身份提供者IDP(IDentity Provider)...
修改目录名称
背景信息 警告 修改目录名称会影响云SSO用户的登录地址,请在修改后务必将新的登录地址通知用户。否则,将导致云SSO用户无法正常登录。在概览页面修改目录名称 登录 云SSO控制台。在左侧导航栏,单击 概览。在页面右侧的 用户登录URL 区域...
设置登录方式
本文为您介绍如何设置云SSO用户的登录方式,包括用户名密码登录和单点登录(SSO登录)。登录方式 云SSO提供了以下两种用户登录方式,且只能启用一种登录方式。例如:启用用户名密码登录的时候,会自动禁用单点登录,反之亦然。用户名密码...
进行角色SSO时企业IdP的SAML配置
进行角色SSO时,为了建立企业IdP对...更多信息,请参见 角色SSO的SAML响应。相关文档 使用AD FS进行角色SSO的示例 使用Okta进行角色SSO的示例 使用Azure AD进行角色SSO的示例 使用OneLogin进行角色SSO的示例 使用Shibboleth进行角色SSO的示例
集成概览
用户身份 接口 支持调用的用户身份 AssumeRole RAM用户、RAM角色 AssumeRoleWithSAML 使用SAML断言进行身份认证,可以匿名访问。AssumeRoleWithOIDC 使用OIDC Token进行身份认证,可以匿名访问。GetCallerIdentity 阿里云账号、RAM用户、...
ALIYUN:CloudSSO:SAMLIdentityProvider
WantRequestSigned Boolean 否 否 在用户访问云SSO登录页面发起SAML SSO时,是否要求云SSO发送签名的SAML请求。取值:true:要求云SSO发送签名的SAML请求。false(默认值):不要求云SSO发送签名的SAML请求。LoginUrl String 否 否 IdP的...
查看和修改默认域名
本文为您介绍如何查看和修改默认域名。...在左侧导航栏,选择 身份管理>设置。单击 高级设置 页签,在 默认域名 区域,查看和修改默认域名。查看默认域名:查看默认域名的名称、状态和创建...更多信息,请参见 进行用户SSO时阿里云SP的SAML配置。
创建并验证域别名
域别名是指默认域名的别名。创建并验证域别名成功后,RAM用户登录控制台时可以使用该域别名作为登录用户名的后缀。前提条件 请确保您已经持有公网上可以解析的域名。...更多信息,请参见 进行用户SSO时阿里云SP的SAML配置。
Azure AD与云SSO进行单点登录的示例
说明 您可以设置任意能够唯一标识用户的字段作为SAML断言中 NameID 的值,常见的有 user.userprincipalname 或 user.mail 等。由于云SSO需要传入的 NameID 值要与云SSO的用户名一致,因此您应该在云SSO中根据该字段值创建用户,以确保SSO...
- 产品推荐
- 这些文档可能帮助您