概述
IDaaS应用管理通过预定义和标准协议应用,提供给企业客户连接本地或云端海量应用的能力,以实现应用身份信息的统一,认证方式的统一,权限的集中管控,单点登录等。
本文将介绍通过IDaaS的应用配置,实现与业务应用的单点登录。
先决条件
在使用IDaaS应用管理功能前,您需要满足以下条件:
- 拥有有效的百度智能云账号以及系统管理员权限;
- 已开通IDaaS服务,并成功创建IDaaS项目;
- 按照添加应用添加了标准协议应用:SAML应用。
操作步骤
本节将以标准协议应用:SAML应用为例,配置从IDaaS到应用的单点登录。详细操作步骤如下:
配置IDaaS应用(IdP配置)
- 进入应用 > 应用列表,选择SAML应用;
- 再次确认应用基本信息配置无误;
- 在属性和声明模块中,按照实际应用的属性的要求添加必要属性
- NameId属性:默认属性,必填项,保持默认${name},表示动态传递IDaaS用户名;
- 自定义属性声明:常见的公有云应用以角色进行单点登录的载体,通常需要配置对应的Role以及RoleSessionName等属性,按照文档对应要求配置即可,在IDaaS的最佳实践中,介绍了典型公有云应用的属性配置。
-
动态属性值说明:在自定义属性声明配置中,支持以“${varible}”格式的动态属性,以支持获取当前登录的IDaaS用户信息,动态地加入到属性值中,以传递到下游应用,适用于在多个IDaaS用于映射到同一个或多个应用账号时的用户标识问题。当前IDaaS支持的动态属性值如下:
属性变量 含义 ${idaasUserId} IDaaS用户id ${name} IDaaS用户名 ${displayName} IDaaS展示名 ${mobilePhone} IDaaS用户手机号 ${email} IDaaS用户邮箱 ${appUserId} SP应用用户id
- 切换到页签绑定关系
- 可以开启并指定一个默认绑定属性,指定后将使用默认绑定属性建立IDaaS用户与目标应用用户的绑定关系;
- 若不开启默认绑定属性功能,则可以手动添加IDaaS与目标应用的用户绑定关系
配置SP应用
- 在SAML应用 > 基本信息 > 签名证书模块下,点击下载元数据XML;
- 在SP应用中新建“身份提供商(IdP)”,输入名称为IDaaS标识字段,上传上一步骤下载的元数据文件,并开启单点登录。如还有SP应用后续配置流程,请按照实际SP应用提供的用户手册进行配置。或参考IDaaS最佳实践中的典型SP应用配置.
- 返回IDaaS 应用 > 应用列表 > SAML应用 > 基本信息 > 测试单点登录,选择已设置绑定关系的IDaaS用户测试到目标应用的单点登录。
