SSO場景系列：實現 Google G Suite 到阿里雲的單點登入

阿里雲單點登入 · 發表 2018-11-17 15:53:01

摘要：本文提供一個配置 Google G Suite （作為IdP）到阿里雲（作為SP）的SSO聯盟登入，用於幫助客戶理解企業 IdP 與阿里雲身份聯盟的端到端配置流程。本文中涉及到 Google G Suite配置的部分屬於建議，僅用於幫助理解阿里雲身份聯盟的端到端配置，阿里雲不提供 Goo...

本文提供一個配置 Google G Suite （作為IdP）到阿里雲（作為SP）的SSO聯盟登入，用於幫助客戶理解企業 IdP 與阿里雲身份聯盟的端到端配置流程。

本文中涉及到 Google G Suite配置的部分屬於建議，僅用於幫助理解阿里雲身份聯盟的端到端配置，阿里雲不提供 Google G Suite配置官方諮詢服務。

示例配置的前提假設

假定您的企業正在使用Google G Suite進行日常工作，示例企業中假設G Suite的主域名(primary domain)為： secloud.club
關於您：假設您是G Suite管理員，同時也是阿里雲賬號管理員。
Alice是您企業的普通僱員，日常工作會使用G Suite域使用者賬號 [email protected] 登入使用 ofollow,noindex" target="_blank">G Suite企業應用。

在 G Suite 中將阿里雲配置為可信 SAML SP

配置阿里雲作為 G Suite的可信 SP 的操作步驟如下：

您需要使用G Suite管理員賬號登入到 G Suite Admin Console ，進入 Apps > APPS SETTINGS > SAML apps > Add a service/App to your domain ，下面將阿里雲作為一個SAML App進行配置：

Step 1: 選擇SETUP MY OWN CUSTOM APP

Step 2: 下載Google IdP Metadata

下載的metadata檔案將用於後續的阿里雲賬號側的SSO配置

Step 3: 填寫自定義App名稱

這裡將Application Name定義為 Aliyun Management Console.

Step 4: 填寫阿里雲作為SP的必要資訊

G Suite要求至少提供 ACS URL 和 Entity ID 這兩個屬性值。ACS URL是指阿里雲賬號作為SAML SP所對應的Assertion Consumer Service地址；Entity ID是指阿里雲賬號作為SAML SP的實體ID。

那麼如何獲取這兩個資訊呢？您需要使用阿里雲賬號登入訪問阿里雲 RAM控制檯 > 人員管理 > 設定 > 高階設定 ，在SSO登入設定下可以檢視當前雲賬號的 SAML 服務提供方元資料 URL 。訪問此URL即可獲取當前雲賬號的SP Metadata XML文件。而 ACS URL 和 Entity ID 這兩個屬性值可以從SP Metadata XML對應的節點中獲取，如下圖所示：

在該賬號的XML檔案示例中，我們得到 Entity ID 值為： `

https://signin-intl.aliyun.com/58 67/saml/SSO

；**ACS URL**值為： https://signin-intl.aliyun.com/saml/SSO `

配置如下圖所示：

Step 5: 配置屬性對映（Attribute Mapping）

這裡使用G Suite的預設屬性對映（將Primary Email對映為Name ID）即可，所以這一步不需要特殊配置，直接跳過。

此時您可以看到如下的提示資訊：

說明G Suite作為IdP側的SSO配置完成，然後需要在阿里雲賬號側進行對應的SSO配置。

開啟App的使用者授權

在進行阿里雲賬號的SSO配置之前，您還需要設定哪些使用者能使用這個App，這是因為新建立的SAML App預設對所有使用者關閉授權。下面配置為對所有域使用者(domain users)授權，如下圖所示：

在如下的確認介面中再次確認開啟對所有域使用者的授權：

在RAM中將G Suite配置為可信SAML IdP

接下來您需要使用阿里雲賬號登入到RAM控制檯，開始在阿里雲賬號側進行相應的域別名及SSO配置：

Step 1：為預設域名設定域別名

阿里雲賬號的預設域名為： <account-alias>.onaliyun.com ，我們將G Suite域名（secloud.club）設定為雲賬號預設域名的域別名。

建立域別名的方法請參考RAM線上文件：建立域別名的方法。

Step 2：SAML單點登入(SSO)設定

由於在上一部分的G Suite配置過程中，我們已經下載了Google IdP Metadata檔案，這裡需要將該檔案上傳到阿里雲。具體操作請參考RAM線上文件：SAML單點登入的設定。

授權Alice開始使用阿里雲控制檯進行工作

上述的配置完成後，下面就可以來測試了。假設Alice被任職負責阿里雲OSS資料的管理。那麼您作為阿里雲賬號管理員，需要先在阿里雲的RAM中為Alice建立一個使用者（要求與G Suite中的使用者名稱相同）並授予合適的許可權（這裡可授予AliyunOSSFullAccess許可權策略）。授權完成後，Alice就可以進行正常工作了。

Alice有兩種方法登入到阿里雲控制檯：

方法1：登入到G Suite企業應用並跳轉到阿里雲控制檯

由於上文已經在G Suite中配置了阿里雲控制檯(Aliyun Manangement Console)作為SAML App，所以Alice使用G Suite域使用者賬號登入到 G Suite企業應用之後可以看到 Aliyun Manangement Console ，直接點選該應用即可跳轉到阿里雲控制檯，無需重新登入。

方法2：使用阿里雲RAM使用者登入

Alice也可以從阿里雲RAM使用者登入URL 進行登入。當Alice輸入 [email protected] 之後，阿里雲會自動跳轉到Google登入URL，提示使用者使用Google賬號登入。登入成功後Google登入系統會自動跳轉到阿里雲控制檯。

參考文件

[1] G Suite Administrator Help: Set up your own custom SAML application

[2] 阿里雲RAM線上文件 - 聯盟登入概述