江苏阿里企业邮箱-进行用户SSO时阿里云SP的SAML配置

  本文介绍通过基于SAML 2.0的用户SSO，配置相应元数据来建立阿里云对企业身份提供商（IdP）的信任，实现企业IdP通过用户SSO登录阿里云。

背景信息

  设置默认域名、域别名或辅助域名可以简化SAML SSO的配置流程。

操作步骤

1.使用RAM管理员登录RAM控制台。

2.在左侧导航栏，选择集成管理 > SSO管理。

3.单击用户SSO页签，配置用户SSO登录的相关信息。

 1）SSO功能状态：选择开启或关闭。

  a.关闭（默认值）：RAM用户可以使用密码登录，所有SSO设置不生效。

  b.开启：开启后，统一跳转到企业IdP登录服务进行身份认证，RAM用户密码登录方式将会被关闭。

 2）元数据文档：单击上传元数据，上传企业IdP提供的元数据文档。

 3）辅助域名（可选）：开启辅助域名开关，可以设置一个辅助域名。

  a.如果设置了辅助域名，SAML断言中的NameID元素将可以使用此辅助域名作为后缀。

  b.如果没有设置辅助域名，SAML断言中的NameID元素将只能使用当前账号的默认域名或域别名作为后缀。

后续步骤

  完成SAML配置后，选择以下一种方法创建与企业IdP相匹配的RAM用户：

1.登录RAM控制台手动创建与企业IdP匹配的RAM用户

2.使用RAM SDK或阿里云CLI来创建RAM用户