BpFile(id=151, bpId=81, name=RAM用户集成企业AD FS身份认证, author=null, keyword=SSO,RAM,SAML,ADFS,身份管理, description=企业 AD用户与RAM用户映射,实现与阿里云的用户SSO。, position=null, ossUrl=bp-2BV8925V5WYHUT27.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=1, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=
介绍阿里云RAM集成Windows AD FS,使用企
业AD对员工的身份认证及管理功能,配置RAM
用户与AD用户的映射关系,实现企业员工使用企
业AD域账号以单点登录(SSO)的方式访问阿里
云控制台。
解决问题
1.Windows AD域部署。
2.Windows AD证书服务及Web服务部署。
3.Windows AD FS部署。
4.阿里云用户SSO配置。
5.AD FS集成RAM用户SSO。
产品列表
l访问控制RAM
l专有网络VPC
l云服务器ECS
, templateId=BUBNBNUA28ZSMDVL, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=BUBNBNUA28ZSMDVL, partner=null, partnerUrl=null, partnerLogo=null, cooperation=null, cooperationList=null)
1
RAM 用户集成企业 AD FS 身份认证
场景描述
部署架构图
介绍阿里云 RAM集成 Windows AD FS,使用企
业 AD对员工的身份认证及管理功能,配置 RAM
用户与 AD用户的映射关系,实现企业员工使用企
业 AD域账号以单点登录(SSO)的方式访问阿里
。
云控制台
解决问题
1. Windows AD域部署。
2. Windows AD证书服务及 Web部署。
3. Windows AD FS部署。
4. 阿里云用户 SSO配置。
5. AD FS集成 RAM 用户 SSO。
产品列表
l 访问控制 RAM
l 专有网络 VPC
l 云服务器 ECS
l 云架构设计工具 CADT
文档版本:20190828
2文档版本信息
RAM用户集成企业 AD FS身份认证
阿里云
企业上云实践
RAM 用户集成企业 AD FS 身份认证
文档版本:20150122(发布日期)
II
3文档版本信息
RAM用户集成企业 AD FS身份认证
文档版本信息
文本信息:
属性 内容
文档名称 RAM用户集成企业 AD FS身份认证
文档编号 081
文档版本 V1.5
版本日期 2021/6/2
文档状态 外部发布
制作人 谈慧杰
审阅人 自暄
文档变更记录
版本编号 日期 作者 审核人 说明
V1.0 20190813 谈慧杰 自暄 创建
增加域别名、辅助域名相关
V1.1 20190820 谈慧杰
介绍
V1.2 20190828 筱晖 文档优化
V1.3 20200120 谈慧杰 增加概览页
V1.4 20210218 谈慧杰 更新最佳实践概述
V1.5 20210602 谈慧杰 使用 CADT部署资源环境
文档版本:20210602 I
4前言
RAM用户集成企业 AD FS身份认证
前言
概述
阿里云支持基于 SAML 2.0的 SSO(Single Sign On,单点登录),也称为身份联合登
录。本文介绍企业 AD用户与阿里云 RAM用户进行映射,实现 AD用户通过 AD FS
身份认证后以所映射的 RAM用户登录阿里云控制台,实现企业 AD用户与阿里云官
网的 SSO。
阿里云账号、RAM 用户的权限管理请参考《阿里云 RAM账号权限管理最佳实践》:
https://www.aliyun.com/acts/best-practice/preview?id=52106&title=RAM账号权限管
理最佳实践
应用范围
本地 AD用户与 RAM用户建立映射,AD用户通过 AD身份认证以映射的 RAM用户
登录访问阿里云控制台的场景。
名词解释
l 身份提供商(IdP):身份提供商提供身份管理和认证服务,通过 SAML 2.0协议向
SP发出包含已认证用户信息的 SAML断言。例如:
– 企业本地 IdP :Microsoft Active Directory Federation Service (AD FS)、
Shibboleth 等。
– Cloud IdP :Azure AD、Google G Suite、Okta、OneLogin 等。
l 服务提供商(SP):利用 IdP 的身份管理功能,为用户提供具体服务的应用,SP
会使用 IdP 提供的用户信息。一些非 SAML 协议的身份系统(例如:OpenID
Connect),也把服务提供商称作 IdP 的信赖方。
l 安全断言标记语言(SAML 2.0):实现企业级用户身份认证的标准协议,它是 SP
和 IdP之间实现沟通的技术实现方式之一。 SAML 2.0已经是目前实现企业级 SSO
的一种事实标准。
l SAML断言(SAML assertion):SAML协议中用来描述认证请求和认证响应的核
心元素。例如:用户的具体属性就包含在认证响应的断言里。
l 信赖(Trust):建立在 SP和 IdP之间的互信机制,通常由公钥和私钥来实现。SP
通过可信的方式获取 IdP的 SAML元数据,元数据中包含 IdP签发 SAML断言的
签名验证公钥,SP则使用公钥来验证断言的完整性。
文档版本:20210602
III
5前言
RAM用户集成企业 AD FS身份认证
l Active Directory域服务(AD DS):提供对域用户和域设备等对象的创建、查询和
修改等功能。
l Active Directory Federation Service(AD FS):提供配置 SSO信赖方的功能,并
对配置好的信赖方提供 SSO认证。
文档版本:20210602
IV
6目录
RAM用户集成企业 AD FS身份认证
目录
文档版本信息 .............................................................................................................................................................. I
法律声明 ..................................................................................................................................................................... II
前言 ............................................................................................................................................................................ III
目录 ............................................................................................................................................................................ V
最佳实践概述 ............................................................................................................................................................. 1
前置条件 .................................................................................................................................................................... III
演示环境说明 ............................................................................................................................................................. 4
1. 创建基础资源 ...................................................................................................................................................... 5
2. 确认并配置资源环境 .......................................................................................................................................... 6
2.1. 确认 ECS及 EIP实例 ........................................................................................................................... 6
2.2. 配置安全组 .......................................................................................................................................... 6
2.3. 修改 DC主机名 ................................................................................................................................... 8
3. 部署活动目录 .................................................................................................................................................... 11
3.1. 修改 DC DNS设置 ............................................................................................................................. 11
3.2. 部署 Windows Active Directory ......................................................................................................... 13
4. 部署 AD证书服务和 Web服务 ........................................................................................................................ 25
4.1. 添加证书服务和 Web服务器角色 ................................................................................................... 25
4.2. 配置 AD证书服务 ............................................................................................................................. 32
5. 申请证书 ........................................................................................................................................................... 46
5.1. 创建证书申请 .................................................................................................................................... 46
5.2. 配置证书 ............................................................................................................................................ 50
5.3. 完成证书申请 .................................................................................................................................... 53
5.4. 为 Default Web Site绑定证书 ........................................................................................................... 54
6. 配置 AD FS ......................................................................................................................................................... 56
6.1. 配置 AD FS ......................................................................................................................................... 56
6.2. 获取元数据 XML 文件 ..................................................................................................................... 66
7. 阿里云用户 SSO SAML配置 ............................................................................................................................. 72
7.1. 更新 SSO登录设置 ........................................................................................................................... 72
7.2. 获取阿里云 SAML服务提供商元数据 ............................................................................................. 73
8. AD FS中配置阿里云为可信 SAML SP ............................................................................................................... 74
8.1. 添加阿里云为可信 SAML SP ............................................................................................................. 74
8.2. 为阿里云 SP配置 SAML断言属性 ................................................................................................... 78
9. 创建域和 RAM用户 .......................................................................................................................................... 82
9.1. 创建 test.com域用户 ........................................................................................................................ 82
9.2. 创建 RAM用户 .................................................................................................................................. 83
10. 用户 SSO验证 ........................................................................................................................................... 85
10.1. 获取 RAM用户登录地址 .................................................................................................................. 85
10.2. 验证用户 SSO登录 ........................................................................................................................... 85
附录一 ....................................................................................................................................................................... 90
附录二 ....................................................................................................................................................................... 92
文档版本:20210602
V
7最佳实践概述
RAM用户集成企业 AD FS身份认证
最佳实践概述
文档概述
本最佳实践描述如何使用 Windows AD FS与阿里云 RAM集成,实现 RAM用户映射
为 Windows AD用户,并使用 Windows AD用户身份认证校验 RAM用户身份,即用
户 SSO。此模式下,企业用户无需感知 RAM用户的密码,仅使用域账号用户名和密
码登录阿里云控制台。
概述
SSO
阿里云支持基于 SAML 2.0的 SSO(Single Sign On,单点登录),也称为身份联合登
录。比如企业可以使用自有的身份系统实现与阿里云的 SSO。
SSO的方式
企业根据自身需要,使用支持 SAML 2.0 的企业 IdP(例如:AD FS)与阿里云进行
SSO。阿里云提供以下两种基于 SAML 2.0 协议的 SSO 方式:
l 用户 SSO:阿里云通过 IdP 颁发的 SAML断言确定企业用户与阿里云 RAM用户
的对应关系。企业用户登录后,使用该 RAM用户访问阿里云。
l 角色 SSO:阿里云通过 IdP 颁发的 SAML 断言确定企业用户在阿里云上可以使
用的 RAM 角色。企业用户登录后,使用 SAML断言中指定的 RAM 角色访问阿里
云。
方式的比较
SSO
SSO方式 SP 发起的 IdP发起的 使用 RAM用 一个 IdP关联多 多个 IdP
SSO SSO 户账号和密 个阿里云账号
码登录
用户 SSO √ √ × × ×
角色 SSO × √ √ √ √
文档版本:20210602
1
8最佳实践概述
RAM用户集成企业 AD FS身份认证
用户 SSO基本流程
当管理员在完成用户 SSO的相关配置后,企业员工 Alice可以通过如图所示的方法登
录到阿里云:Alice使用浏览器登录阿里云,阿里云将 SAML认证请求返回给浏览器。
1. Alice使用浏览器登录阿里云,阿里云将 SAML认证请求返回给浏览器。
2. 浏览器向 IdP 转发 SAML认证请求。
3. IdP提示 Alice登录,并在 Alice登录成功后生成 SAML响应返回给浏览器。
4. 浏览器将 SAML响应转发给 SSO服务。
5. SSO服务通过 SAML互信配置,验证 SAML响应的数字签名来判断 SAML断言的
真伪,并通过 SAML断言的 NameID元素值,匹配到对应阿里云账号中的 RAM用户
身份。
6. SSO服务向浏览器返回控制台的 URL。
7. 浏览器重定向到阿里云控制台。
文档版本:20210602
2