江苏阿里企业邮箱-使用Google Workspace进行用户SSO的示例

  本文提供一个以Google Workspace与阿里云进行用户SSO的示例，帮助您理解企业IdP与阿里云进行SSO的端到端配置流程。

步骤一：在阿里云获取SAML服务提供商元数据

1.使用RAM管理员登录RAM控制台。

2.在左侧导航栏，选择集成管理 > SSO管理。

3.单击用户SSO页签，在SAML 服务提供商元数据区域，复制当前阿里云账号的元数据URL。

4.在新的浏览器窗口中打开复制的链接，将元数据XML文件另存到本地。

步骤二：在Google Workspace创建支持SAML SSO的应用

1.使用超级管理员登录Google Workspace管理控制台。

2.在左侧导航栏，选择Apps > Web and mobile apps。

3.单击Add app页签，然后单击Add custom SAML app。

4.在Add custom SAML app页面，创建支持SAML SSO的应用。

 1）ACS URL：为步骤一：在阿里云获取SAML服务提供商元数据中记录的Location。

 2）Entity ID：为步骤一：在阿里云获取SAML服务提供商元数据中记录的entityID。

 3）Start URL：用来配置用户SSO登录成功后跳转到的阿里云页面。

 4）在Attribute mapping页面，单击FINISH。

5.在创建成功的应用详情页，单击User access。

6.可选：在应用名称下方的Organizational Units区域，选择要使用此应用进行单点登录的组织单元。默认为整个组织。

7.在Service status区域，选中ON for everyone。

8.点击SAVE。

步骤三：在阿里云开启用户SSO

1.在RAM控制台的左侧导航栏，选择集成管理 > SSO管理。

2.单击用户SSO页签，在SSO功能状态区域，单击开启。

3.在元数据文档区域，单击上传元数据，上传从步骤二：在Google Workspace创建支持SAML SSO的应用中获取的IdP元数据。

4.在辅助域名区域，单击编辑，然后开启辅助域名并配置辅助域名为Google Workspace中的用户名Email后缀。

步骤五：在阿里云创建RAM用户

1.在RAM控制台的左侧导航栏，选择身份管理 > 用户。

2.在用户页面，单击创建用户。

3.在创建用户页面，输入登录名称和显示名称。

4.在访问方式区域，选择控制台访问，并设置登录密码等参数。

5.单击确定。

验证结果

  完成上述配置后，您可以从阿里云或Google Workspace发起SSO登录。

从阿里云侧发起登录

1.在RAM控制台的概览页，复制RAM用户的登录地址。

2.将鼠标悬停在右上角头像的位置，单击退出登录或使用新的浏览器打开复制的RAM用户登录地址。

3.单击使用企业账号登录，系统会自动跳转到Google Workspace的登录页面。

4.在Google Workspace的登录界面，输入用户名（u2@example.com）和密码，单击登录。

系统将自动SSO登录并重定向到您指定的Start URL页面。如果未指定Start URL或超出允许范围，则系统会访问如下阿里云控制台首页。如果出现以下页面，表示配置成功。

从Google Workspace侧发起登录

  使用Google Workspace用户登录Google Workspace，在Google Workspace的主页，找到并单击步骤二：在Google Workspace创建支持SAML SSO的应用创建的应用。

  系统将自动SSO登录并重定向到您指定的Start URL页面。如果未指定Start URL或超出允许范围，则系统会访问以下阿里云控制台首页。如果出现以下页面，表示配置成功。