Ctrl+F / Command+F 全文检索
客户案例

相关最佳实践
业务上云 |

传统企业、零售和游戏行业系统分级后单库单服系统云上搭建最佳实践,涉及大部分基础云产品。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB CDN 云速搭
业务上云 |

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源

云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
安全&合规 |

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作

云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理
DevOps | 容器&微服务 |

使用云效完成容器应用自动化构建和持续部署

专有网络 VPC 负载均衡 SLB 容器服务 ACK 云效 云速搭
容器&微服务 |

使用ACK上运行常规业务,业务突发波动时突增业务运行在ECI上/达到成本的最优控制

云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 云数据库 Redis 版 弹性容器实例 ECI 云速搭
数据分析 |

对网站用户行为的每一个事件对应的位置进行埋点通过SDK上报/汇总数据进行分析以推动产品优化及指导运营

云服务器ECS 云数据库RDS MySQL 版 日志服务(SLS) DataWorks Terraform
数据分析 | 数据迁移 |

介绍如何将自建Hadoop集群及生态组件迁移到阿里云MaxCompute大数据服务。

云服务器ECS DataWorks 大数据计算服务 MaxCompute 云数据库 HBase 版 数据总线 云速搭
业务上云 | 云上运维 | 安全&合规 |

企业AD用户组与RAM角色映射,实现与阿里云的角色SSO。

块存储 专有网络 VPC 云服务器ECS 弹性公网IP 访问控制
云上运维 | 安全&合规 |

以电商网站场景为例介绍如何使用访问控制服务(RAM)进行账号权限管理。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 对象存储 OSS 访问控制 云速搭
安全&合规 |

云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求

云服务器ECS 日志服务(SLS) 云安全中心 Web应用防火墙 操作审计 数据库审计 堡垒机 云防火墙 SSL证书

温馨提示

未登录用户仅可预览8页内容,请您前往登录后浏览更多企业上云最佳实践案例内容。企业账号建议生成子账号授权访问。

BpFile(id=152, bpId=88, name=RAM角色集成企业AD FS身份认证, author=null, keyword=SSO,RAM,SAML,ADFS,角色,身份管理, description=企业AD用户组与RAM角色映射,实现与阿里云的角色SSO。, position=null, ossUrl=bp-OWVTPA5NL3YRPZ47.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=1, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=

介绍阿里云RAM集成WindowsADFS, 使用企业AD对员工的身份及权限管理功 能,配置RAM角色与AD用户组的映射关 系,实现企业员工使用企业AD域账号以单 点登录(SSO)的方式访问阿里云控制 台。 解决问题 lWindowsAD域部署。 lWindowsAD证书服务及Web部署。 lWindowsADFS部署。 l阿里云角色SSO配置。 lADFS集成RAM角色SSO。 产品列表 l访问控制RAM l专有网络VPC l云服务器ECS

, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=TH2MQ6WB7AYV61J2, partner=null, partnerUrl=null, partnerLogo=null)
1 RAM 角色集成企业 AD FS 身份认证最佳实践 场景描述 部署架构图: 介绍阿里云 RAM集成 Windows AD FS, 使用企业 AD对员工的身份及权限管理功 能,配置 RAM角色与 AD 用户组的映射关 系,实现企业员工使用企业 AD域账号以单 点登录(SSO)的方式访问阿里云控制 台。 解决问题 l Windows AD域部署。 l Windows AD证书服务及 Web部署。 l Windows AD FS部署。 l 阿里云角色 SSO配置。 l AD FS集成 RAM 角色 SSO。 产品列表 l 访问控制 RAM l 专有网络 VPC l 云服务器 ECS l 云架构设计工具 CADT 文档版本:20191218
2云服务器 ECS(产品名称) 文档模板(手册名称)/文档版本信息 阿里云 企业上云实践 RAM 角色集成企业 AD FS 身份认 文档版本:20150122(发布日期) II
3企业用户基于 AD FS 身份认证登录为 RAM 角色 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 RAM角色集成企业 AD FS身份认证 文档编号 088 文档版本 V1.5 版本日期 2021/6/1 文档状态 外部发布 制作人 谈慧杰 审阅人 - 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 20190813 谈慧杰 子轩 创建 根据审核意见 V1.1 20190826 谈慧杰 - 增补内容 V1.2 20190829 筱晖 - 文档优化 V1.3 20191218 谈慧杰 增加概览页 概览页架构图 V1.4 20200102 谈慧杰 更新 使用 CADT部 V1.5 20210601 谈慧杰 署资源环境 文档版本:20210601 I
4企业用户基于 AD FS 身份认证登录为 RAM 角色 前言 前言 概述 阿里云支持基于 SAML 2.0的 SSO(Single Sign On,单点登录),也称为身份联 合登录。 本文介绍阿里云 RAM集成 Windows AD FS,使用企业 AD对员工的身份及权限管 理功能,配置 RAM角色与 AD 用户组的映射关系,实现企业员工使用企业 AD域 账号以单点登录(SSO)的方式访问阿里云控制台。AD 域管理员通过员工的用户 组来管理员工对阿里云账号的访问权限。在本例中,企业拥有阿里云账号 Account,要管理的权限为 Admin 和 Reader,企业员工用户名为 user1和 user2,两个用户分别属于 AD用户组 Aliyun--ADFS-Admin 和 Aliyun--ADFS-Reader,企业想要实现从 AD FS到 Account的 SSO。 说明:为云账号 Account 的账号 ID,可在阿里云官网的账号管理-安 全设置中获取。 阿里云账号、RAM 用户、角色的权限管理请参考《阿里云 RAM账号权限管理最佳 实践》:https://www.aliyun.com/acts/best-practice/preview?id=52106&title=RAM账 号权限管理最佳实践 适用范围 通过本地 AD用户组与 RAM角色映射,在 AD组内用户登录后使用映射的 RAM角 色访问阿里云的场景。 名词解释 l 身份提供商(IdP):身份提供商提供身份管理和认证服务,通过 SAML 2.0协议 向 SP发出包含已认证用户信息的 SAML断言。例如: – 企业本地 IdP :Microsoft Active Directory Federation Service (AD FS)、 Shibboleth 等。 – Cloud IdP :Azure AD、Google G Suite、Okta、OneLogin 等。 l 服务提供商(SP):利用 IdP 的身份管理功能,为用户提供具体服务的应用, SP 会使用 IdP 提供的用户信息。一些非 SAML 协议的身份系统(例如: OpenID Connect),也把服务提供商称作 IdP 的信赖方。 文档版本:20210601 III
5企业用户基于 AD FS 身份认证登录为 RAM 角色 前言 l 安全断言标记语言(SAML 2.0):实现企业级用户身份认证的标准协议,它是 SP 和 IdP之间实现沟通的技术实现方式之一。SAML 2.0已经是目前实现企业级 SSO的一种事实标准。 l SAML断言(SAML assertion):SAML协议中用来描述认证请求和认证响应的 核心元素。例如:用户的具体属性就包含在认证响应的断言里。 l 信赖(Trust):建立在 SP和 IdP之间的互信机制,通常由公钥和私钥来实现。 SP通过可信的方式获取 IdP的 SAML元数据,元数据中包含 IdP 签发 SAML断 言的签名验证公钥,SP 则使用公钥来验证断言的完整性。 l Active Directory域服务(AD DS):提供对域用户和域设备等对象的创建、查询 和修改等功能。 l Active Directory Federation Service(AD FS):提供配置 SSO信赖方的功能, 并对配置好的信赖方提供 SSO认证。 文档版本:20210601 IV
6企业用户基于 AD FS 身份认证登录为 RAM 角色 目录 目录 文档版本信息 .................................................................... I 法律声明 ....................................................................... II 前言 .......................................................................... III 目录 ............................................................................ V 最佳实践概述 .................................................................... 1 前置条件 ........................................................................ 3 演示环境说明 .................................................................... 4 1. 创建基础资源 ............................................................. 5 2. 确认并配置资源环境 ....................................................... 6 2.1. 确认 ECS及EIP实例 ................................................... 6 2.2. 配置安全组 ........................................................... 6 2.3. 修改 DC主机名 ........................................................ 8 3. 部署活动目录 ............................................................ 10 3.1. 修改 DC DNS设置 ..................................................... 10 3.2. 部署 Windows Active Directory ........................................ 12 4. 部署 AD 证书服务和Web服务 ............................................... 23 4.1. 添加证书服务和 Web服务器角色 ........................................ 23 4.2. 配置 AD证书服务 ..................................................... 30 5. 申请证书 ................................................................ 43 5.1. 创建证书申请 ........................................................ 43 5.2. 配置证书 ............................................................ 47 5.3. 完成证书申请 ........................................................ 50 5.4. 为 Default Web Site绑定证书 ......................................... 51 配置 AD FS .............................................................. 53 配置 AD FS ........................................................... 53 获取元数据 XML 文件 ................................................. 64 创建域用户和域用户组 .................................................... 70 创建 test.com域用户 ................................................. 70 创建域用户组 ........................................................ 71 将域用户加入用户组 .................................................. 72 阿里云角色 SSO SAML配置 ................................................. 75 更新 SSO登录设置并创建角色 .......................................... 75 获取阿里云角色 SSO SAML服务提供商元数据 ............................. 81 AD FS 中配置阿里云为可信SAML SP ......................................... 82 添加阿里云为可信 SAML SP ............................................. 82 为阿里云 SP配置SAML断言属性 ........................................ 86 9.2.1. NameID转换规则 ................................................. 86 9.2.2. RoleSessionName转换规则 ........................................ 89 9.2.3. Role转换规则 ................................................... 92 用户 SSO 验证 ............................................................ 97 AD FS SSO 门户登录地址 .............................................. 97 文档版本:20210601 V
7企业用户基于 AD FS 身份认证登录为 RAM 角色 目录 验证角色 SSO登录 .................................................... 97 文档版本:20210601 VI
8企业用户基于 AD FS 身份认证登录为 RAM 角色 最佳实践概述 最佳实践概述 概述 本最佳实践描述如何使用 Windows AD FS与阿里云 RAM集成,实现 Windows AD 用户组映射为 RAM角色,使用 Windows AD用户身份认证校验后以相应 RAM角 色身份访问阿里云,即角色 SSO。此模式下,在 RAM角色层设定阿里云的授权策 略,企业用户无需感知 RAM用户,仅使用域用户名和密码登录阿里云控制台,并 自动获取该域用户所属组所对应的 RAM角色上的授权。 SSO 概述 阿里云支持基于 SAML 2.0 的 SSO(Single Sign On,单点登录),也称为身份联 合登录。比如企业可以使用自有的身份系统实现与阿里云的 SSO。 SSO 的方式 企业根据自身需要,使用支持 SAML 2.0的企业 IdP(例如:AD FS)与阿里云进行 SSO。阿里云提供以下两种基于 SAML 2.0协议的 SSO方式: l 用户 SSO:阿里云通过 IdP 颁发的 SAML断言确定企业用户与阿里云 RAM用 户的对应关系。企业用户登录后,使用该 RAM用户访问阿里云。 l 角色 SSO:阿里云通过 IdP 颁发的 SAML断言确定企业用户在阿里云上可以使 用的 RAM角色。企业用户登录后,使用 SAML断言中指定的 RAM角色访问阿 里云。 SSO方式的比较 SSO方式 SP 发起的 IdP发起的 使用 RAM用 一个 IdP关联多 多个 IdP SSO SSO 户账号和密 个阿里云账号 码登录 用户 SSO √ √ × × × 角色 SSO × √ √ √ √ 文档版本:20210601 1