更新时间:2022-06-07 21:30:07
阿里云支持基于SAML 2.0的SSO(Single Sign On,单点登录),也称为身份联合登录。本文以Microsoft Active Directory (AD) 为例为您介绍企业如何使用自有的身份系统实现与阿里云的SSO并在容器服务ACK集群中进行身份验证。
本文主要介绍 AD FS的安装部署 , 用户SSO 配置和登录, 如需了解 角色SSO 配置和登录 请参考在AlibabaCloud上,如何使用AD FS进行 【角色SSO】 并完成在容器服务ACK集群中的身份验证
安装完成后,服务器会重启:
访问阿里云RAM控制台Settings -> Advanced -> SSO Settings:
更改"SSO Status" 为 "Enabled" 并且 "Upload" FederationMetadata.xml文件:
点击“OK”:
Trust Relationships -> Replying Party Trusts -> Add Replying Trust:
the URL can be found in ram console:
Add rules:
选择"Transform an Incoming Claim":
现在我们在AD上有以下组和用户:
Group001:
testuser01 testuser02
Group002:
testuser03 testuser04
我们在RAM控制台也创建相应的组和用户:
使用子账号testuser01 testuser02 testuser03 testuser04测试登录操作:
使用testuser01@testdomain.com登录:
此时子账户没有任何集群操作权限:
我们可以创建一个自定义策略允许group01下的用户对命名空间ci有读写权限:
授权完成后访问集群资源:
参考子账号RBAC权限配置指导为子账户授权。
参考文档:
https://help.aliyun.com/document_detail/93685.html
https://help.aliyun.com/document_detail/87656.html