实现ADFS与阿里云SSO(单点登陆管理)——配置用户SSO

一、 在阿里云访问控制中打开用户SSO选项,在阿里云目录中配置可信外部SAML IdP



二、 在ADFS中配置阿里云为可信SP

元数据URL获取:

  1. 云账号登录RAM控制台。
  2. 在左侧导航栏,单击SSO管理。
  3. 单击用户SSO。
  4. 在SSO登录设置区域,可以查看当前云账号的SAML服务提供商元数据URL。


三、 为阿里云SP配置SAML断言属性。
配置Active Directory中的UPN为SAML断言中的NameID
在这里,微软用了Claim(声明)这一术语来指代SAML断言中的属性。这是因为AD FS支持的其他协议(OAuth,WS-Fed等)也都使用Claim来表达Token中的字段。

第一步:为信赖方编辑声明规则
所谓声明规则,指的是Claims Rule,也就是SAML断言中的声明(属性)是怎样从Active Directory的用户属性中生成的。

第二步:添加颁发转换规则
所谓颁发转换规则,指的是Issuance Transformation Rule,指的是如何将一个已知的用户属性,经过转换之后,颁发为SAML断言中的属性。由于我们要将用户在AD中的UPN颁发为NameID,因此需要添加一个新的规则

规则的模版为转换传入声明

到这里,由于我们云账号里的UPN域名为jccloud.onaliyun.com,而AD中的UPN域名为corp.jccfc.com,显然如果直接将AD中的User Principal Name映射为NameID会让阿里云无法匹配到正确的子账号用户。
在这种情况下,在AD FS给阿里云颁发的SAML断言中就必须将UPN的域名后缀从corp.jccfc.com替换为jccloud.onaliyun.com(假定用户名一一对应)



四、 验证配置
在内网打开门户

选择用户SSO,使用域账户登录。

登陆成功。

原文地址:https://blog.51cto.com/13781144/2486909

时间: 2024-10-09 03:22:09

实现ADFS与阿里云SSO(单点登陆管理)——配置用户SSO的相关文章

SSO单点登陆环境搭建

SSO单点登陆的概念网上已经很多了,文章并不对这些概念性的东西进行过多的讨论,直接通过代码进行说明,具体的环境搭建代码已经上传git : http://git.oschina.net/alexgaoyh/SSOTest 需要注意的地方,已经写到README.md文件中了,如在本地搭建环境的话,请注意文件中的那些注意事项.博客并不进行过多介绍. 未登录时的页面验证: 登陆后的页面: 此时接着访问另外一个客户端页面,直接可以看到欢迎信息,能够证明此时已经处于登陆状态了.

php 用CAS实现SSO单点登陆及登出功能

php用CAS实现SSO单点登陆及登出功能 一..CAS服务器搭建 CAS服务器端下载地址:http://downloads.jasig.org/cas/ 解压cas-server-4.0.0-release.zip将modules目录下的cas-server-webapp-4.0.0.war改名称为cas.war复制到tomcat的webapps下,启动tomcat,访问:http://localhost:8080/cas/login 就可以看到登录界面了: cas服务端默认采用的是 用户名=

阿里云服务器 ECS Ubuntu系统安装配置

1. 登陆服务器 系统开通成功后手机会收到阿里云发来的短信,包含公网IP及root登录密码. WEB管理后台方式 可通过阿里云管理后台选择“连接管理终端…”进行登录 提示输入VNC密码 登录成功后显示shell界面,这时需要输入root账号及其密码登录到系统 这时候就可以进行系统操作了 但是这种方式操作比较不方便,建议使用ssh进行管理操作,阿里云系统已经自带了ssh服务,我们用ssh client连接进来即可. SSH方式远程管理 windows用户可以安装putty,通过putty进行SSH

阿里云服务器Linux CentOS安装配置(四)yum安装tomcat

阿里云服务器Linux CentOS安装配置(四)yum安装tomcat 1.yum -y install tomcat  执行命令后,会帮你把jdk也安装好 2.tomcat安装目录:/var/lib/tomcat/ 3.tomcat配置目录:/etc/tomcat/ 4.启动tomcat:service tomcat start 5.访问下:curl 127.0.0.1:8080(安装目录里是个空文件夹,所以访问时,没有任何内容返回,这是正常的) 远程访问地址:http://ip:8080(

阿里云服务器Linux CentOS安装配置(七)域名解析

阿里云服务器Linux CentOS安装配置(七)域名解析 1.购买域名 登录阿里云,左侧菜单点击[域名],然后[域名注册],完成域名购买.(一般首年45元) 2.添加域名解析 在域名列表里点击你的域名,进入域名控制台 如上图,点击[域名解析] 然后点击[添加解析],添加下面两项(有提示,很简单的) 3.ping测试 ping www.域名 ping 域名(没有www) 可能会两几分钟延迟,ping不通的话等两分钟再试试 4.下一章,使用nginx为云服务器上不同端口的服务配置不同的子域名

阿里云服务器Linux CentOS安装配置(五)jetty配置、部署

阿里云服务器Linux CentOS安装配置(五)jetty配置.部署 1.官网下载jetty:wget http://repo1.maven.org/maven2/org/eclipse/jetty/jetty-distribution/9.2.17.v20160517/jetty-distribution-9.2.17.v20160517.zip 我用上面的命令下载速度太慢了,于是先下载到本地,再传到服务器的 2.解压:unzip jetty-distribution-9.2.17.v201

阿里云服务器Linux CentOS安装配置(一/九)购买阿里云服务器

阿里云服务器Linux CentOS安装配置(一/九)购买阿里云服务器 我在阿里云购买的服务器配置 CPU:1核 内存:2G 系统盘:40G 公共镜像:CentOS 6.5 64位 公网带宽:1Mbps 价格:108元/月 系统运行参考 1个svn 1个mysql 1个tomcat部署了一个Java Web项目跑14802端口 1个jetty部署了一个Java Web项目跑14808端口 1个resin部署了两个Java Web项目跑了8080.14805两个端口 1个nginx 上面的服务运行

阿里云服务器Linux CentOS安装配置(八)nginx安装、配置、域名绑定

阿里云服务器Linux CentOS安装配置(八)nginx安装.配置.域名绑定 1.安装nginx yum -y install nginx 2.启动nginx service nginx start 3.访问(nginx默认是80端口) curl 127.0.0.1 4.域名子绑定 编辑文件/etc/nginx/conf.d/default.conf,在底部加入下面代码,完成前几章所述4个端口的子域名绑定 server{ listen 80; server_name tomcat.bingz

阿里云服务器centos下安装配置svn服务器

阿里云服务器centos下安装配置svn服务器 1.安装svn服务器端 yum install subversion      从镜像下载安装svn服务器端中间会提示是否ok,输入y,确认安装成功提示:.....complete!依次执行如下命令:cd /usr/local/              //进入目录,准备创建svn目录 mkdir svnRepo                   //创建一个svn目录 chmod -R 777 svnRepo            //修改目

【阿里云ECS活动 20180328】新用户参与优惠购买 99/年、189/2年、279/3年

推荐购买地址.推荐购买地址.推荐购买地址 一.活动对象 1.阿里云官网注册的个人实名认证用户.其中,新老用户均可作为拼团活动的推荐者,但只有未购买过云产品的新用户方有资格参与拼团购买. 2.同一用户仅有一次参与拼团推荐或拼团购买的机会.例如:同一用户使用不同账号作为推荐者参与本活动的,仅首个用户可参与活动并获赠云服务器:在阿里云官网已有消费的用户重新注册新账号参与拼团购买的,新老账号将被视为同一用户,不具有购买资格. 二.活动时间 2018年3月28日-2018年4月13日. 三.活动规则 1.