概述

IDaaS应用管理通过预定义和标准协议应用，提供给企业客户连接本地或云端海量应用的能力，以实现应用身份信息的统一，认证方式的统一，权限的集中管控，单点登录等。

本文将介绍通过IDaaS的应用配置，实现与业务应用的单点登录。

先决条件

在使用IDaaS应用管理功能前，您需要满足以下条件：

• 拥有有效的百度智能云账号以及系统管理员权限；
• 已开通IDaaS服务，并成功创建IDaaS项目；
• 按照添加应用添加了标准协议应用：SAML应用；
• 按照配置应用访问权限完成了应用访问授权。

操作步骤

本节将以标准协议应用：SAML应用为例，配置从IDaaS到应用的单点登录。详细操作步骤如下：

配置IDaaS应用(IdP配置)

1. 进入应用 > 应用列表，选择SAML应用；
2. 再次确认应用基本信息配置无误；
3. 在属性和声明模块中，按照实际应用的属性的要求添加必要属性

• NameId属性：默认属性，必填项，保持默认${name}，表示动态传递IDaaS用户名；
• 自定义属性声明：常见的公有云应用以角色进行单点登录的载体，通常需要配置对应的Role以及RoleSessionName等属性，按照文档对应要求配置即可，在IDaaS的典型实践中，介绍了典型公有云应用的属性配置。

• 动态属性值说明：在自定义属性声明配置中，支持以“${varible}”格式的动态属性，以支持获取当前登录的IDaaS用户信息，动态地加入到属性值中，以传递到下游应用，适用于在多个IDaaS用于映射到同一个或多个应用账号时的用户标识问题。当前IDaaS支持的动态属性值如下:

  属性变量	含义
  ${idaasUserId}	IDaaS用户id
  ${name}	IDaaS用户名
  ${displayName}	IDaaS展示名
  ${mobilePhone}	IDaaS用户手机号
  ${email}	IDaaS用户邮箱
  ${appUserId}	SP应用用户id

4. 切换到页签绑定关系

• 可以开启并指定一个默认绑定属性，指定后将使用默认绑定属性建立IDaaS用户与目标应用用户的绑定关系；
• 若不开启默认绑定属性功能，则可以手动添加IDaaS与目标应用的用户绑定关系

配置SP应用

1. 在SAML应用 > 基本信息 > 签名证书模块下，点击下载元数据XML；
2. 在SP应用中新建“身份提供商(IdP)”，输入名称为IDaaS标识字段，上传上一步骤下载的元数据文件，并开启单点登录。如还有SP应用后续配置流程，请按照实际SP应用提供的用户手册进行配置。或参考IDaaS典型实践中的典型SP应用配置.
3. 返回IDaaS 应用 > 应用列表 > SAML应用 > 基本信息 > 测试单点登录，选择已设置绑定关系的IDaaS用户测试到目标应用的单点登录。