在AlibabaCloud上,如何使用AD FS进行 【角色SSO】 并完成在容器服务ACK集群中的身份验证

本文涉及的产品
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
容器镜像服务 ACR,镜像仓库100个 不限时长
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
简介: 阿里云与企业进行角色 SSO 时,阿里云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过角色 SSO,企业可以在本地 IdP 中管理员工信息,无需进行阿里云和企业 IdP 间的用户同步,企业员工将使用指定的 RAM 角色来登录阿里云。

阿里云与企业进行角色 SSO 时,阿里云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过角色 SSO,企业可以在本地 IdP 中管理员工信息,无需进行阿里云和企业 IdP 间的用户同步,企业员工将使用指定的 RAM 角色来登录阿里云。

本文主要介绍 AD FS的配置角色SSO 配置和登录, 如需了解 用户SSO 配置和登录 请参考 在AlibabaCloud上,如何使用AD FS进行 【用户SSO】 并完成在容器服务ACK集群中的身份验证

一. 在阿里云 RAM控制台将AD FS配置为可信SAML IdP

  1. 创建名为 adfs 的身份提供商, 并配置相应的元数据。

首先访问https://adserver.testdomain.com/FederationMetadata/2007-06/FederationMetadata.xml下载 FederationMetadata.xml文件 (adserver.testdomain.com为已搭建好的AD FS服务器域名)
RAM控制台 -> SSO管理 -> 角色SSO -> 新建身份提供商:
image

  1. 创建可信实体类型为身份提供商的RAM角色ADFS-Admin 和 ADFS-Reader,并分别授予 AdministratorAccess和ReadOnlyAccess权限。

RAM控制台 -> RAM角色管理 -> 新建RAM角色 -> 选择步骤1中创建的身份提供商:
image

分别为 RAM角色ADFS-Admin 和 ADFS-Reader 授予 AdministratorAccess和ReadOnlyAccess权限。

二. 在AD FS中配置阿里云为可信SAML SP

在 AD FS 中,SAML SP 被称作信赖方(Relying Party)。设置阿里云作为 AD FS 的可信 SP 的操作步骤如下:

  1. 服务器管理器 -> 工具菜单 -> 选择AD FS 管理
    image

image

Federation metadata address: https://signin.aliyun.com/saml-role/sp-metadata.xml
image

  1. 为阿里云SP配置 SAML断言属性
    image

Add rules(参考https://help.aliyun.com/document_detail/110616.html):
(1) NameID:
image
(2) RoleSessionName:
image
(3) Role:
image
(4) Get AD Groups:
image

  1. 配置验证
    在AD FS中创建group Aliyun-<your uid>-ADFS-ReaderAliyun-<your uid>-ADFS-Admin, 创建user liusheng并加入group Aliyun-<your uid>-ADFS-ReaderAliyun-<your uid>-ADFS-Admin

image

登录 AD FS SSO 门户, 本示例为https://adserver.testdomain.com/adfs/ls/idpinitiatedsignon
image

image

image
选择一个角色进行SSO登录, 如选择ADFS-Admin角色登录:
image

  1. 访问ACK容器服务并为角色配置权限

访问容器集群ls-test的应用资源:
image

授权管理 -> RAM角色 -> 填写角色名称并点击管理权限
image

为容器集群ls-test授权管理员权限,并根据提示完成授权:
image

再次访问容器集群ls-test的应用资源验证授权成功:
image

参考文档:
https://help.aliyun.com/document_detail/110616.html

相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
目录
相关文章
|
5天前
|
JSON Kubernetes 容灾
ACK One应用分发上线:高效管理多集群应用
ACK One应用分发上线,主要介绍了新能力的使用场景
|
6天前
|
Kubernetes 持续交付 开发工具
ACK One GitOps:ApplicationSet UI简化多集群GitOps应用管理
ACK One GitOps新发布了多集群应用控制台,支持管理Argo CD ApplicationSet,提升大规模应用和集群的多集群GitOps应用分发管理体验。
|
29天前
|
Kubernetes Cloud Native 云计算
云原生之旅:Kubernetes 集群的搭建与实践
【8月更文挑战第67天】在云原生技术日益成为IT行业焦点的今天,掌握Kubernetes已成为每个软件工程师必备的技能。本文将通过浅显易懂的语言和实际代码示例,引导你从零开始搭建一个Kubernetes集群,并探索其核心概念。无论你是初学者还是希望巩固知识的开发者,这篇文章都将为你打开一扇通往云原生世界的大门。
99 17
|
21天前
|
Kubernetes 应用服务中间件 nginx
搭建Kubernetes v1.31.1服务器集群,采用Calico网络技术
在阿里云服务器上部署k8s集群,一、3台k8s服务器,1个Master节点,2个工作节点,采用Calico网络技术。二、部署nginx服务到k8s集群,并验证nginx服务运行状态。
240 1
|
26天前
|
Kubernetes Cloud Native 微服务
微服务实践之使用 kube-vip 搭建高可用 Kubernetes 集群
微服务实践之使用 kube-vip 搭建高可用 Kubernetes 集群
78 1
|
26天前
|
负载均衡 应用服务中间件 nginx
基于Ubuntu-22.04安装K8s-v1.28.2实验(二)使用kube-vip实现集群VIP访问
基于Ubuntu-22.04安装K8s-v1.28.2实验(二)使用kube-vip实现集群VIP访问
46 1
|
1月前
|
Kubernetes Cloud Native Ubuntu
云原生之旅:Kubernetes集群搭建与应用部署
【8月更文挑战第65天】本文将带你进入云原生的世界,通过一步步指导如何在本地环境中搭建Kubernetes集群,并部署一个简单的应用。我们将使用Minikube和Docker作为工具,探索云原生技术的魅力所在。无论你是初学者还是有经验的开发者,这篇文章都将为你提供有价值的信息和实践技巧。
|
2月前
|
存储 Kubernetes 关系型数据库
阿里云ACK备份中心,K8s集群业务应用数据的一站式灾备方案
阿里云ACK备份中心,K8s集群业务应用数据的一站式灾备方案
|
2月前
|
存储 Kubernetes 负载均衡
CentOS 7.9二进制部署K8S 1.28.3+集群实战
本文详细介绍了在CentOS 7.9上通过二进制方式部署Kubernetes 1.28.3+集群的全过程,包括环境准备、组件安装、证书生成、高可用配置以及网络插件部署等关键步骤。
305 3
CentOS 7.9二进制部署K8S 1.28.3+集群实战
|
17天前
|
Kubernetes Ubuntu Linux
Centos7 搭建 kubernetes集群
本文介绍了如何搭建一个三节点的Kubernetes集群,包括一个主节点和两个工作节点。各节点运行CentOS 7系统,最低配置为2核CPU、2GB内存和15GB硬盘。详细步骤包括环境配置、安装Docker、关闭防火墙和SELinux、禁用交换分区、安装kubeadm、kubelet、kubectl,以及初始化Kubernetes集群和安装网络插件Calico或Flannel。

热门文章

最新文章

相关产品

  • 容器服务Kubernetes版
  • 推荐镜像

    更多