SSO場景系列:實現 Google G Suite 到阿里雲的單點登入
本文提供一個配置 Google G Suite (作為IdP)到阿里雲(作為SP)的SSO聯盟登入,用於幫助客戶理解企業 IdP 與阿里雲身份聯盟的端到端配置流程。
本文中涉及到 Google G Suite配置的部分屬於建議,僅用於幫助理解阿里雲身份聯盟的端到端配置,阿里雲不提供 Google G Suite配置官方諮詢服務。
示例配置的前提假設
- 假定您的企業正在使用Google G Suite進行日常工作,示例企業中假設G Suite的主域名(primary domain)為:
secloud.club
- 關於您:假設您是G Suite管理員,同時也是阿里雲賬號管理員。
- Alice是您企業的普通僱員,日常工作會使用G Suite域使用者賬號
[email protected]
登入使用 ofollow,noindex" target="_blank">G Suite企業應用 。
在 G Suite 中將阿里雲配置為可信 SAML SP
配置阿里雲作為 G Suite的可信 SP 的操作步驟如下:
您需要使用G Suite管理員賬號登入到 G Suite Admin Console ,進入 Apps > APPS SETTINGS > SAML apps > Add a service/App to your domain ,下面將阿里雲作為一個SAML App進行配置:
Step 1: 選擇SETUP MY OWN CUSTOM APP
Step 2: 下載Google IdP Metadata
下載的metadata檔案將用於後續的阿里雲賬號側的SSO配置
Step 3: 填寫自定義App名稱
這裡將Application Name定義為 Aliyun Management Console.
Step 4: 填寫阿里雲作為SP的必要資訊
G Suite要求至少提供 ACS URL 和 Entity ID 這兩個屬性值。ACS URL是指阿里雲賬號作為SAML SP所對應的Assertion Consumer Service地址;Entity ID是指阿里雲賬號作為SAML SP的實體ID。
那麼如何獲取這兩個資訊呢? 您需要使用阿里雲賬號登入訪問阿里雲 RAM控制檯 > 人員管理 > 設定 > 高階設定 ,在SSO登入設定下可以檢視當前雲賬號的 SAML 服務提供方元資料 URL 。訪問此URL即可獲取當前雲賬號的SP Metadata XML文件。而 ACS URL 和 Entity ID 這兩個屬性值可以從SP Metadata XML對應的節點中獲取,如下圖所示:
`
https://signin-intl.aliyun.com/58 67/saml/SSO
;**ACS URL**值為:
https://signin-intl.aliyun.com/saml/SSO `
配置如下圖所示:
Step 5: 配置屬性對映(Attribute Mapping)
這裡使用G Suite的預設屬性對映(將Primary Email對映為Name ID)即可,所以這一步不需要特殊配置,直接跳過。
此時您可以看到如下的提示資訊:
說明G Suite作為IdP側的SSO配置完成,然後需要在阿里雲賬號側進行對應的SSO配置。
開啟App的使用者授權
在進行阿里雲賬號的SSO配置之前,您還需要設定哪些使用者能使用這個App,這是因為新建立的SAML App預設對所有使用者關閉授權。下面配置為對所有域使用者(domain users)授權,如下圖所示:
在如下的確認介面中再次確認開啟對所有域使用者的授權:
在RAM中將G Suite配置為可信SAML IdP
接下來您需要使用阿里雲賬號登入到RAM控制檯,開始在阿里雲賬號側進行相應的域別名及SSO配置:
Step 1:為預設域名設定域別名
阿里雲賬號的預設域名為: <account-alias>.onaliyun.com
,我們將G Suite域名(secloud.club)設定為雲賬號預設域名的域別名。
建立域別名的方法請參考RAM線上文件:建立域別名的方法。
Step 2:SAML單點登入(SSO)設定
由於在上一部分的G Suite配置過程中,我們已經下載了Google IdP Metadata檔案,這裡需要將該檔案上傳到阿里雲。具體操作請參考RAM線上文件:SAML單點登入的設定。
授權Alice開始使用阿里雲控制檯進行工作
上述的配置完成後,下面就可以來測試了。假設Alice被任職負責阿里雲OSS資料的管理。那麼您作為阿里雲賬號管理員,需要先在阿里雲的RAM中為Alice建立一個使用者(要求與G Suite中的使用者名稱相同)並授予合適的許可權(這裡可授予AliyunOSSFullAccess許可權策略)。授權完成後,Alice就可以進行正常工作了。
Alice有兩種方法登入到阿里雲控制檯:
方法1:登入到G Suite企業應用並跳轉到阿里雲控制檯
由於上文已經在G Suite中配置了阿里雲控制檯(Aliyun Manangement Console)作為SAML App,所以Alice使用G Suite域使用者賬號登入到 G Suite企業應用 之後可以看到 Aliyun Manangement Console ,直接點選該應用即可跳轉到阿里雲控制檯,無需重新登入。
方法2:使用阿里雲RAM使用者登入
Alice也可以從阿里雲RAM使用者登入URL 進行登入。當Alice輸入 [email protected]
之後,阿里雲會自動跳轉到Google登入URL,提示使用者使用Google賬號登入。登入成功後Google登入系統會自動跳轉到阿里雲控制檯。
參考文件
[1] G Suite Administrator Help: Set up your own custom SAML application
[2] 阿里雲RAM線上文件 - 聯盟登入概述