配置应用单点登录
所有文档

          身份管理服务 IDaaS

          配置应用单点登录

          概述

          IDaaS应用管理通过预定义和标准协议应用,提供给企业客户连接本地或云端海量应用的能力,以实现应用身份信息的统一,认证方式的统一,权限的集中管控,单点登录等。

          本文将介绍通过IDaaS的应用配置,实现与业务应用的单点登录。

          先决条件

          在使用IDaaS应用管理功能前,您需要满足以下条件:

          • 拥有有效的百度智能云账号以及系统管理员权限;
          • 已开通IDaaS服务,并成功创建IDaaS项目;
          • 按照添加应用添加了标准协议应用:SAML应用

          操作步骤

          本节将以标准协议应用:SAML应用为例,配置从IDaaS到应用的单点登录。详细操作步骤如下:

          配置IDaaS应用(IdP配置)

          1. 进入应用 > 应用列表,选择SAML应用
          2. 再次确认应用基本信息配置无误;
          3. 属性和声明模块中,按照实际应用的属性的要求添加必要属性
          • NameId属性:默认属性,必填项,保持默认${name},表示动态传递IDaaS用户名;
          • 自定义属性声明:常见的公有云应用以角色进行单点登录的载体,通常需要配置对应的Role以及RoleSessionName等属性,按照文档对应要求配置即可,在IDaaS的最佳实践中,介绍了典型公有云应用的属性配置。
          • 动态属性值说明:在自定义属性声明配置中,支持以“${varible}”格式的动态属性,以支持获取当前登录的IDaaS用户信息,动态地加入到属性值中,以传递到下游应用,适用于在多个IDaaS用于映射到同一个或多个应用账号时的用户标识问题。当前IDaaS支持的动态属性值如下:

            属性变量 含义
            ${idaasUserId} IDaaS用户id
            ${name} IDaaS用户名
            ${displayName} IDaaS展示名
            ${mobilePhone} IDaaS用户手机号
            ${email} IDaaS用户邮箱
            ${appUserId} SP应用用户id
          1. 切换到页签绑定关系,指定IDaaS用户与应用用户的绑定关系;

          配置SP应用

          1. SAML应用 > 基本信息 > 签名证书模块下,点击下载元数据XML
          2. 在SP应用中新建“身份提供商(IdP)”,输入名称为IDaaS标识字段,上传上一步骤下载的元数据文件,并开启单点登录。如还有SP应用后续配置流程,请按照实际SP应用提供的用户手册进行配置。或参考IDaaS最佳实践中的典型SP应用配置.
          3. 返回IDaaS 应用 > 应用列表 > SAML应用 > 基本信息 > 测试单点登录,选择已设置绑定关系的IDaaS用户测试到目标应用的单点登录。
          上一篇
          配置账号信息同步
          下一篇
          配置CAS协议应用