多用户访问控制

    IAM用户联合

    配置IAM用户联合登录

    你可以通过配置企业端IdP的SAML节点和百度智能云SP的 外部账户接入 > IAM用户联合 ,从而实现企业用户从企业应用到百度智能云IAM子用户的单点登录。

    先决条件

    1. 企业IdP支持SAML 2.0协议;
    2. 拥有百度智能云的账号并激活。

    配置流程

    配置基于SAML的单点登录功能,需要同时完成IdP配置和SP配置,其中IdP配置包含基本配置、用户属性配置和下载元数据等,SP配置包含创建身份服务提供商和配置信任策略。本文以微软公司的Azure Active Directory(AAD)为IdP,介绍如何配置SAML IdP和百度智能云的SP。

    配置IdP

    1. 按照流程,注册Azure 账号;
    2. 登录Azure门户,在左侧导航栏中,进入 所有服务 > Azure Active Directory ;
    3. 点击 企业应用程序 > 新建应用程序 ,并选择 非库应用程序 ,填写应用名称,点击 添加 完成应用程序创建;

      注意:非库应用程序要求开通AAD专业版,你可以选择开通免费试用版,并在完成配置后选择是否需要关闭该试用版。

    image.png

    1. 进入应用程序,选择 单一登录 > SAML

    image.png

    1. 在基本SAML配置中,点击右上方编辑按钮,配置 标识符(实体ID)回复URL(断言使用者服务URL) 字段为urn:bce:baidu:webserviceshttps://login.bce.baidu.com/saml

    image.png

    1. 在用户属性和字段中,点击右上方编辑按钮,添加如下用户属性字段:

    image.png

    名称 源属性 说明
    https://bce.baidu.com/SAML/Attributes/Subuser 属性 accountId:subuser-name/{subuser_name}, accountId:saml-provider/{providerName} 将accountId字段替换为百度智能云中的实际accountId(在百度智能云用户中心获取), subuser_name字段替换为子用户名称, providerName字段替换为IdP名称(有效字符串即可),如azure

    以上字段为必填字段,你可以根据需要添加额外的用户属性字段,详细配置参考本地身份服务的SAML断言配置

    1. 在SAML签名证书中,下载IdP SAML元数据,IdP的配置到此结束。

    image.png

    配置SP

    配置SP身份提供者

    1. 登录百度智能云, 鼠标移到右上角,进入多用户访问控制 > 外部账号接入 > IAM用户联合
    2. 在用户联合设置中,上传IdP配置步骤7中下载的SAML元数据,切换功能状态开关到打开状态 。

    本地身份服务的SAML断言配置说明

    基本配置

    • SubjectConfirmationData中的Recipient字段必须配置为https://login.bce.baidu.com/saml
    • AudienceRestriction中的Audience字段需要配置为urn:bce:baidu:webservices
    • 属性中需要有名称为https://bce.baidu.com/SAML/Attributes/Subuser的断言,并且格式为“accountId:subuser-name/{subuser_name}, accountId:saml-provider/{providerName}”,其中accountId字段替换为百度智能云中的实际accountId(在百度智能云用户中心获取), subuser_name字段替换为子用户名称, providerName字段替换为IdP名称(有效字符串即可),如azure

    SAML断言属性

    SAML断言的名称和IDP信任策略的属性是一一对应的,目前百度智能云支持的属性包括: saml:iss, saml:aud, saml:cn, saml:eduPersonAffiliation, saml:eduPersonPrincipalName,它们对应的SAML属性分别是:

    名称 属性含义
    saml:iss SAML断言的Issuer字段,非必填
    saml:aud SAML断言AudienceRestriction中的Audience字段
    saml:cn SAML断言中的urn:oid:2.5.4.3属性
    saml: eduPersonAffiliation SAML断言中的urn:oid:1.3.6.1.4.1.5923.1.1.1.1属性
    saml: eduPersonPrincipalName SAML断言中的urn:oid:1.3.6.1.4.1.5923.1.1.1.6属性

    验证单点登录

    先决条件

    已经完成IdP和SP的SAML配置。

    操作指南

    1. 登录Azure门户,导航到 所有服务 > Azure Active Directory > 企业应用程序 > testApp ;
    2. 点击 用户和组 > 新建用户 ,将需要授权单点登录的用户添加到该应用程序;

    image.png

    1. 点击 单一登录 ,点击 Validate , 选择使用 作为当前用户登录 ,即可测试跳转到百度智能云页面;

    image.png

    1. 如果需要将登录链接嵌入到企业应用中,可以直接在如下位置获取:

    image.png

    注意

    开发时,在重定向到https://login.bce.baidu.com/saml的时候需要携带SAMLResponse中的信息,此信息中需要标明用户具体的身份断言。

    <RequestedAttribute isRequired="true" Name="https://bce.baidu.com/SAML/Attributes/Subuser" FriendlyName="RoleEntitlement"/>

    这两个属性是必传的属性,其中

    属性https://bce.baidu.com/SAML/Attributes/Subuser用于表示用户当前访问的账户,子用户,和IdP名称,其格式为"accountId:subuser-name/{subuser_name}, accountId:saml-provider/{providerName}",其中accountId为百度智能云中实际的账户ID, subuser_name传递SSO后的子用户名, providerName则为配置外部身份提供者的名称字段。

    上一篇
    联合登录概览
    下一篇
    IAM角色联合