RAM角色集成企业AD FS身份认证

1 RAM 角色集成企业 AD FS 身份认证最佳实践 场景描述 部署架构图： 介绍阿里云 RAM集成 Windows AD FS， 使用企业 AD对员工的身份及权限管理功 能，配置 RAM角色与 AD 用户组的映射关 系，实现企业员工使用企业 AD域账号以单 点登录（SSO）的方式访问阿里云控制 台。 解决问题 l Windows AD域部署。 l Windows AD证书服务及 Web部署。 l Windows AD FS部署。 l 阿里云角色 SSO配置。 l AD FS集成 RAM 角色 SSO。 产品列表 l 访问控制 RAM l 专有网络 VPC l 云服务器 ECS l 云架构设计工具 CADT 文档版本：20191218

2云服务器 ECS（产品名称） 文档模板（手册名称）/文档版本信息 阿里云 企业上云实践 RAM 角色集成企业 AD FS 身份认 文档版本：20150122（发布日期） II

3企业用户基于 AD FS 身份认证登录为 RAM 角色 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 RAM角色集成企业 AD FS身份认证 文档编号 088 文档版本 V1.5 版本日期 2021/6/1 文档状态 外部发布 制作人 谈慧杰 审阅人 - 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 20190813 谈慧杰 子轩 创建 根据审核意见 V1.1 20190826 谈慧杰 - 增补内容 V1.2 20190829 筱晖 - 文档优化 V1.3 20191218 谈慧杰 增加概览页 概览页架构图 V1.4 20200102 谈慧杰 更新 使用 CADT部 V1.5 20210601 谈慧杰 署资源环境 文档版本：20210601 I

4企业用户基于 AD FS 身份认证登录为 RAM 角色 前言 前言 概述 阿里云支持基于 SAML 2.0的 SSO（Single Sign On，单点登录），也称为身份联 合登录。 本文介绍阿里云 RAM集成 Windows AD FS，使用企业 AD对员工的身份及权限管 理功能，配置 RAM角色与 AD 用户组的映射关系，实现企业员工使用企业 AD域 账号以单点登录（SSO）的方式访问阿里云控制台。AD 域管理员通过员工的用户 组来管理员工对阿里云账号的访问权限。在本例中，企业拥有阿里云账号 Account，要管理的权限为 Admin 和 Reader，企业员工用户名为 user1和 user2，两个用户分别属于 AD用户组 Aliyun--ADFS-Admin 和 Aliyun--ADFS-Reader，企业想要实现从 AD FS到 Account的 SSO。 说明：为云账号 Account 的账号 ID，可在阿里云官网的账号管理-安 全设置中获取。 阿里云账号、RAM 用户、角色的权限管理请参考《阿里云 RAM账号权限管理最佳 实践》：https://www.aliyun.com/acts/best-practice/preview?id=52106&title=RAM账 号权限管理最佳实践 适用范围 通过本地 AD用户组与 RAM角色映射，在 AD组内用户登录后使用映射的 RAM角 色访问阿里云的场景。 名词解释 l 身份提供商（IdP）：身份提供商提供身份管理和认证服务，通过 SAML 2.0协议 向 SP发出包含已认证用户信息的 SAML断言。例如： – 企业本地 IdP ：Microsoft Active Directory Federation Service （AD FS）、 Shibboleth 等。 – Cloud IdP ：Azure AD、Google G Suite、Okta、OneLogin 等。 l 服务提供商（SP）：利用 IdP 的身份管理功能，为用户提供具体服务的应用， SP 会使用 IdP 提供的用户信息。一些非 SAML 协议的身份系统（例如： OpenID Connect），也把服务提供商称作 IdP 的信赖方。 文档版本：20210601 III

5企业用户基于 AD FS 身份认证登录为 RAM 角色 前言 l 安全断言标记语言（SAML 2.0）：实现企业级用户身份认证的标准协议，它是 SP 和 IdP之间实现沟通的技术实现方式之一。SAML 2.0已经是目前实现企业级 SSO的一种事实标准。 l SAML断言（SAML assertion）：SAML协议中用来描述认证请求和认证响应的 核心元素。例如：用户的具体属性就包含在认证响应的断言里。 l 信赖（Trust）：建立在 SP和 IdP之间的互信机制，通常由公钥和私钥来实现。 SP通过可信的方式获取 IdP的 SAML元数据，元数据中包含 IdP 签发 SAML断 言的签名验证公钥，SP 则使用公钥来验证断言的完整性。 l Active Directory域服务（AD DS）：提供对域用户和域设备等对象的创建、查询 和修改等功能。 l Active Directory Federation Service（AD FS）：提供配置 SSO信赖方的功能， 并对配置好的信赖方提供 SSO认证。 文档版本：20210601 IV

6企业用户基于 AD FS 身份认证登录为 RAM 角色 目录 目录 文档版本信息 .................................................................... I 法律声明 ....................................................................... II 前言 .......................................................................... III 目录 ............................................................................ V 最佳实践概述 .................................................................... 1 前置条件 ........................................................................ 3 演示环境说明 .................................................................... 4 1. 创建基础资源 ............................................................. 5 2. 确认并配置资源环境 ....................................................... 6 2.1. 确认 ECS及EIP实例 ................................................... 6 2.2. 配置安全组 ........................................................... 6 2.3. 修改 DC主机名 ........................................................ 8 3. 部署活动目录 ............................................................ 10 3.1. 修改 DC DNS设置 ..................................................... 10 3.2. 部署 Windows Active Directory ........................................ 12 4. 部署 AD 证书服务和Web服务 ............................................... 23 4.1. 添加证书服务和 Web服务器角色 ........................................ 23 4.2. 配置 AD证书服务 ..................................................... 30 5. 申请证书 ................................................................ 43 5.1. 创建证书申请 ........................................................ 43 5.2. 配置证书 ............................................................ 47 5.3. 完成证书申请 ........................................................ 50 5.4. 为 Default Web Site绑定证书 ......................................... 51 配置 AD FS .............................................................. 53 配置 AD FS ........................................................... 53 获取元数据 XML 文件 ................................................. 64 创建域用户和域用户组 .................................................... 70 创建 test.com域用户 ................................................. 70 创建域用户组 ........................................................ 71 将域用户加入用户组 .................................................. 72 阿里云角色 SSO SAML配置 ................................................. 75 更新 SSO登录设置并创建角色 .......................................... 75 获取阿里云角色 SSO SAML服务提供商元数据 ............................. 81 AD FS 中配置阿里云为可信SAML SP ......................................... 82 添加阿里云为可信 SAML SP ............................................. 82 为阿里云 SP配置SAML断言属性 ........................................ 86 9.2.1. NameID转换规则 ................................................. 86 9.2.2. RoleSessionName转换规则 ........................................ 89 9.2.3. Role转换规则 ................................................... 92 用户 SSO 验证 ............................................................ 97 AD FS SSO 门户登录地址 .............................................. 97 文档版本：20210601 V

7企业用户基于 AD FS 身份认证登录为 RAM 角色 目录 验证角色 SSO登录 .................................................... 97 文档版本：20210601 VI

8企业用户基于 AD FS 身份认证登录为 RAM 角色 最佳实践概述 最佳实践概述 概述 本最佳实践描述如何使用 Windows AD FS与阿里云 RAM集成，实现 Windows AD 用户组映射为 RAM角色，使用 Windows AD用户身份认证校验后以相应 RAM角 色身份访问阿里云，即角色 SSO。此模式下，在 RAM角色层设定阿里云的授权策 略，企业用户无需感知 RAM用户，仅使用域用户名和密码登录阿里云控制台，并 自动获取该域用户所属组所对应的 RAM角色上的授权。 SSO 概述 阿里云支持基于 SAML 2.0 的 SSO（Single Sign On，单点登录），也称为身份联 合登录。比如企业可以使用自有的身份系统实现与阿里云的 SSO。 SSO 的方式 企业根据自身需要，使用支持 SAML 2.0的企业 IdP（例如：AD FS）与阿里云进行 SSO。阿里云提供以下两种基于 SAML 2.0协议的 SSO方式： l 用户 SSO：阿里云通过 IdP 颁发的 SAML断言确定企业用户与阿里云 RAM用 户的对应关系。企业用户登录后，使用该 RAM用户访问阿里云。 l 角色 SSO：阿里云通过 IdP 颁发的 SAML断言确定企业用户在阿里云上可以使 用的 RAM角色。企业用户登录后，使用 SAML断言中指定的 RAM角色访问阿 里云。 SSO方式的比较 SSO方式 SP 发起的 IdP发起的 使用 RAM用 一个 IdP关联多 多个 IdP SSO SSO 户账号和密 个阿里云账号 码登录 用户 SSO √ √ × × × 角色 SSO × √ √ √ √ 文档版本：20210601 1