Ctrl+F / Command+F 全文检索

相关产品

客户案例

相关最佳实践
业务上云 |

传统企业、零售和游戏行业系统分级后单库单服系统云上搭建最佳实践,涉及大部分基础云产品。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB CDN 云架构设计工具
DevOps | 容器&微服务 |

使用云效完成容器应用自动化构建和持续部署

专有网络 VPC 云数据库RDS MySQL 版 负载均衡 SLB 容器服务 ACK 云效 云架构设计工具
业务上云 |

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源

云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
安全&合规 |

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作

云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理
容器&微服务 |

使用ACK上运行常规业务,业务突发波动时突增业务运行在ECI上/达到成本的最优控制

云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 云数据库 Redis 版 弹性容器实例 ECI 云架构设计工具
云上运维 | 安全&合规 |

以电商网站场景为例介绍如何使用访问控制服务(RAM)进行账号权限管理。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 对象存储 OSS 访问控制 云架构设计工具
数据分析 | 数据迁移 |

介绍如何将自建Hadoop集群及生态组件迁移到阿里云MaxCompute大数据服务。

云服务器ECS DataWorks 大数据计算服务 MaxCompute 云数据库 HBase 版 数据总线
业务上云 | 云上运维 | 安全&合规 |

企业 AD用户与RAM用户映射,实现与阿里云的用户SSO。

块存储 专有网络 VPC 云服务器ECS 弹性公网IP 访问控制 云架构设计工具
安全&合规 |

云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求

云服务器ECS 日志服务(SLS) 云安全中心 Web应用防火墙 操作审计 数据库审计 堡垒机 云防火墙 SSL证书
容器&微服务 |

使用ACK容器服务进行应用容器化改造以及容器集群节点的高弹性低成本伸缩架构

块存储 文件存储NAS 容器服务 ACK 云数据库 Redis 版 性能测试 PTS

温馨提示

未登录用户仅可预览8页内容,请您前往登录后浏览更多企业上云最佳实践案例内容。企业账号建议生成子账号授权访问。

BpFile(id=151, bpId=81, name=RAM用户集成企业AD FS身份认证, author=null, keyword=SSO,RAM,SAML,ADFS,身份管理, description=企业 AD用户与RAM用户映射,实现与阿里云的用户SSO。, position=null, ossUrl=bp-T0UYLG4IPG9V2I1W.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=1, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=

介绍阿里云RAM集成Windows AD FS,使用企 业AD对员工的身份认证及管理功能,配置RAM 用户与AD用户的映射关系,实现企业员工使用企 业AD域账号以单点登录(SSO)的方式访问阿里 云控制台。 解决问题 1.Windows AD域部署。 2.Windows AD证书服务及Web服务部署。 3.Windows AD FS部署。 4.阿里云用户SSO配置。 5.AD FS集成RAM用户SSO。 产品列表 l访问控制RAM l专有网络VPC l云服务器ECS

, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=GESOM4SXW4OSAA21, partner=null, partnerUrl=null, partnerLogo=null)
1 RAM 用户集成企业 AD FS 身份认证 场景描述 部署架构图 介绍阿里云 RAM集成 Windows AD FS,使用企 业 AD对员工的身份认证及管理功能,配置 RAM 用户与 AD用户的映射关系,实现企业员工使用企 业 AD域账号以单点登录(SSO)的方式访问阿里 。 云控制台 解决问题 1. Windows AD域部署。 2. Windows AD证书服务及 Web部署。 3. Windows AD FS部署。 4. 阿里云用户 SSO配置。 5. AD FS集成 RAM 用户 SSO。 产品列表 l 访问控制 RAM l 专有网络 VPC l 云服务器 ECS l 云架构设计工具 CADT 文档版本:20190828
2文档版本信息 RAM用户集成企业 AD FS身份认证 阿里云 企业上云实践 RAM 用户集成企业 AD FS 身份认证 文档版本:20150122(发布日期) II
3文档版本信息 RAM用户集成企业 AD FS身份认证 文档版本信息 文本信息: 属性 内容 文档名称 RAM用户集成企业 AD FS身份认证 文档编号 081 文档版本 V1.5 版本日期 2021/6/2 文档状态 外部发布 制作人 谈慧杰 审阅人 自暄 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 20190813 谈慧杰 自暄 创建 增加域别名、辅助域名相关 V1.1 20190820 谈慧杰 介绍 V1.2 20190828 筱晖 文档优化 V1.3 20200120 谈慧杰 增加概览页 V1.4 20210218 谈慧杰 更新最佳实践概述 V1.5 20210602 谈慧杰 使用 CADT部署资源环境 文档版本:20210602 I
4前言 RAM用户集成企业 AD FS身份认证 前言 概述 阿里云支持基于 SAML 2.0的 SSO(Single Sign On,单点登录),也称为身份联合登 录。本文介绍企业 AD用户与阿里云 RAM用户进行映射,实现 AD用户通过 AD FS 身份认证后以所映射的 RAM用户登录阿里云控制台,实现企业 AD用户与阿里云官 网的 SSO。 阿里云账号、RAM 用户的权限管理请参考《阿里云 RAM账号权限管理最佳实践》: https://www.aliyun.com/acts/best-practice/preview?id=52106&title=RAM账号权限管 理最佳实践 应用范围 本地 AD用户与 RAM用户建立映射,AD用户通过 AD身份认证以映射的 RAM用户 登录访问阿里云控制台的场景。 名词解释 l 身份提供商(IdP):身份提供商提供身份管理和认证服务,通过 SAML 2.0协议向 SP发出包含已认证用户信息的 SAML断言。例如: – 企业本地 IdP :Microsoft Active Directory Federation Service (AD FS)、 Shibboleth 等。 – Cloud IdP :Azure AD、Google G Suite、Okta、OneLogin 等。 l 服务提供商(SP):利用 IdP 的身份管理功能,为用户提供具体服务的应用,SP 会使用 IdP 提供的用户信息。一些非 SAML 协议的身份系统(例如:OpenID Connect),也把服务提供商称作 IdP 的信赖方。 l 安全断言标记语言(SAML 2.0):实现企业级用户身份认证的标准协议,它是 SP 和 IdP之间实现沟通的技术实现方式之一。 SAML 2.0已经是目前实现企业级 SSO 的一种事实标准。 l SAML断言(SAML assertion):SAML协议中用来描述认证请求和认证响应的核 心元素。例如:用户的具体属性就包含在认证响应的断言里。 l 信赖(Trust):建立在 SP和 IdP之间的互信机制,通常由公钥和私钥来实现。SP 通过可信的方式获取 IdP的 SAML元数据,元数据中包含 IdP签发 SAML断言的 签名验证公钥,SP则使用公钥来验证断言的完整性。 文档版本:20210602 III
5前言 RAM用户集成企业 AD FS身份认证 l Active Directory域服务(AD DS):提供对域用户和域设备等对象的创建、查询和 修改等功能。 l Active Directory Federation Service(AD FS):提供配置 SSO信赖方的功能,并 对配置好的信赖方提供 SSO认证。 文档版本:20210602 IV
6目录 RAM用户集成企业 AD FS身份认证 目录 文档版本信息 .............................................................................................................................................................. I 法律声明 ..................................................................................................................................................................... II 前言 ............................................................................................................................................................................ III 目录 ............................................................................................................................................................................ V 最佳实践概述 ............................................................................................................................................................. 1 前置条件 .................................................................................................................................................................... III 演示环境说明 ............................................................................................................................................................. 4 1. 创建基础资源 ...................................................................................................................................................... 5 2. 确认并配置资源环境 .......................................................................................................................................... 6 2.1. 确认 ECS及 EIP实例 ........................................................................................................................... 6 2.2. 配置安全组 .......................................................................................................................................... 6 2.3. 修改 DC主机名 ................................................................................................................................... 8 3. 部署活动目录 .................................................................................................................................................... 11 3.1. 修改 DC DNS设置 ............................................................................................................................. 11 3.2. 部署 Windows Active Directory ......................................................................................................... 13 4. 部署 AD证书服务和 Web服务 ........................................................................................................................ 25 4.1. 添加证书服务和 Web服务器角色 ................................................................................................... 25 4.2. 配置 AD证书服务 ............................................................................................................................. 32 5. 申请证书 ........................................................................................................................................................... 46 5.1. 创建证书申请 .................................................................................................................................... 46 5.2. 配置证书 ............................................................................................................................................ 50 5.3. 完成证书申请 .................................................................................................................................... 53 5.4. 为 Default Web Site绑定证书 ........................................................................................................... 54 6. 配置 AD FS ......................................................................................................................................................... 56 6.1. 配置 AD FS ......................................................................................................................................... 56 6.2. 获取元数据 XML 文件 ..................................................................................................................... 66 7. 阿里云用户 SSO SAML配置 ............................................................................................................................. 72 7.1. 更新 SSO登录设置 ........................................................................................................................... 72 7.2. 获取阿里云 SAML服务提供商元数据 ............................................................................................. 73 8. AD FS中配置阿里云为可信 SAML SP ............................................................................................................... 74 8.1. 添加阿里云为可信 SAML SP ............................................................................................................. 74 8.2. 为阿里云 SP配置 SAML断言属性 ................................................................................................... 78 9. 创建域和 RAM用户 .......................................................................................................................................... 82 9.1. 创建 test.com域用户 ........................................................................................................................ 82 9.2. 创建 RAM用户 .................................................................................................................................. 83 10. 用户 SSO验证 ........................................................................................................................................... 85 10.1. 获取 RAM用户登录地址 .................................................................................................................. 85 10.2. 验证用户 SSO登录 ........................................................................................................................... 85 附录一 ....................................................................................................................................................................... 90 附录二 ....................................................................................................................................................................... 92 文档版本:20210602 V
7最佳实践概述 RAM用户集成企业 AD FS身份认证 最佳实践概述 文档概述 本最佳实践描述如何使用 Windows AD FS与阿里云 RAM集成,实现 RAM用户映射 为 Windows AD用户,并使用 Windows AD用户身份认证校验 RAM用户身份,即用 户 SSO。此模式下,企业用户无需感知 RAM用户的密码,仅使用域账号用户名和密 码登录阿里云控制台。 概述 SSO 阿里云支持基于 SAML 2.0的 SSO(Single Sign On,单点登录),也称为身份联合登 录。比如企业可以使用自有的身份系统实现与阿里云的 SSO。 SSO的方式 企业根据自身需要,使用支持 SAML 2.0 的企业 IdP(例如:AD FS)与阿里云进行 SSO。阿里云提供以下两种基于 SAML 2.0 协议的 SSO 方式: l 用户 SSO:阿里云通过 IdP 颁发的 SAML断言确定企业用户与阿里云 RAM用户 的对应关系。企业用户登录后,使用该 RAM用户访问阿里云。 l 角色 SSO:阿里云通过 IdP 颁发的 SAML 断言确定企业用户在阿里云上可以使 用的 RAM 角色。企业用户登录后,使用 SAML断言中指定的 RAM 角色访问阿里 云。 方式的比较 SSO SSO方式 SP 发起的 IdP发起的 使用 RAM用 一个 IdP关联多 多个 IdP SSO SSO 户账号和密 个阿里云账号 码登录 用户 SSO √ √ × × × 角色 SSO × √ √ √ √ 文档版本:20210602 1
8最佳实践概述 RAM用户集成企业 AD FS身份认证 用户 SSO基本流程 当管理员在完成用户 SSO的相关配置后,企业员工 Alice可以通过如图所示的方法登 录到阿里云:Alice使用浏览器登录阿里云,阿里云将 SAML认证请求返回给浏览器。 1. Alice使用浏览器登录阿里云,阿里云将 SAML认证请求返回给浏览器。 2. 浏览器向 IdP 转发 SAML认证请求。 3. IdP提示 Alice登录,并在 Alice登录成功后生成 SAML响应返回给浏览器。 4. 浏览器将 SAML响应转发给 SSO服务。 5. SSO服务通过 SAML互信配置,验证 SAML响应的数字签名来判断 SAML断言的 真伪,并通过 SAML断言的 NameID元素值,匹配到对应阿里云账号中的 RAM用户 身份。 6. SSO服务向浏览器返回控制台的 URL。 7. 浏览器重定向到阿里云控制台。 文档版本:20210602 2