在AlibabaCloud上,如何使用AD FS进行 【用户SSO】 并完成在容器服务ACK集群中的身份验证-阿里云开发者社区

开发者社区> 阿里云容器服务 ACK> 正文

在AlibabaCloud上,如何使用AD FS进行 【用户SSO】 并完成在容器服务ACK集群中的身份验证

简介: 阿里云支持基于SAML 2.0的SSO(Single Sign On,单点登录),也称为身份联合登录。本文以Microsoft Active Directory (AD) 为例为您介绍企业如何使用自有的身份系统实现与阿里云的SSO并在容器服务ACK集群中进行身份验证。

阿里云支持基于SAML 2.0的SSO(Single Sign On,单点登录),也称为身份联合登录。本文以Microsoft Active Directory (AD) 为例为您介绍企业如何使用自有的身份系统实现与阿里云的SSO并在容器服务ACK集群中进行身份验证。

本文主要介绍 AD FS的安装部署 用户SSO 配置和登录, 如需了解 角色SSO 配置和登录 请参考在AlibabaCloud上,如何使用AD FS进行 【角色SSO】 并完成在容器服务ACK集群中的身份验证

一. 安装部署Microsoft AD

  1. 打开 "Server Manager",单击 “Add roles and features”
    ad1
  2. 单击 “Next”
    ad2

ad3
ad4

  1. 选择 “Active Director Domain Service” "Add Featrues"
    ad5

ad6
ad7
ad8

  1. 安装完成后点击 “Promote this server to a domain controller”
    ad9
  2. "Add a new forest"
    本示例中我们使用“testdomain.com”

ad10
ad11
ad12
ad13
ad14
ad15
ad16

安装完成后,服务器会重启:
ad17

  1. Start Menu -> Active Directory Users and Computers
    ad18
  2. new Org and new Users
    ad19

ad20
ad21
ad22
ad23
ad24

二. 安装CA

  1. 选择“Add roles and features” 安装CA
    ca1
  2. 点击下一步直到选择"Active Directory Certificate Services"
    ca2

ca3
ca4
ca5
ca6
ca7
ca8
ca9
ca10
ca11
ca12
ca13
ca14

  1. 访问http://localhost/certsrv 确保 CA安装成功
    ca15

三. 安装ADFS

  1. 添加服务账号
    a1

a2
a3
a4
a5
a6
a7
a8
a9

  1. 安装ADFS
    1

2
3
4
5
6
7
8
9
10
11
12

  1. 测试
    访问https://adserver.testdomain.com/adfs/ls/idpinitiatedsignon

13
14

四. 配置AD到阿里云的单点登录

  1. RAM控制台配置ADFS
    首先访问https://adserver.testdomain.com/FederationMetadata/2007-06/FederationMetadata.xml下载 FederationMetadata.xml文件

访问阿里云RAM控制台Settings -> Advanced -> SSO Settings:
01

更改"SSO Status" 为 "Enabled" 并且 "Upload" FederationMetadata.xml文件:
02

点击“OK”:
03
04

  1. 在ADFS中配置阿里云RAM为可信SAML SP
    AD FS -> Tools -> AD FS Management:

05
Trust Relationships -> Replying Party Trusts -> Add Replying Trust:
06
07
08

the URL can be found in ram console:
09
010
011
012
013
014

Add rules:
015

选择"Transform an Incoming Claim":
016
017
018

现在我们在AD上有以下组和用户:
Group001:
testuser01 testuser02
Group002:
testuser03 testuser04

我们在RAM控制台也创建相应的组和用户:
000

使用子账号testuser01 testuser02 testuser03 testuser04测试登录操作:
001
002

使用testuser01@testdomain.com登录:
0000
0001

五. 为子账户授权ACK集群操作权限

此时子账户没有任何集群操作权限:
b1
我们可以创建一个自定义策略允许group01下的用户对命名空间ci有读写权限:
b2
b3
授权完成后访问集群资源:
b4

参考子账号RBAC权限配置指导为子账户授权。

参考文档:
https://help.aliyun.com/document_detail/93685.html
https://help.aliyun.com/document_detail/87656.html

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
阿里云容器服务 ACK
使用钉钉扫一扫加入圈子
+ 订阅

云端最佳容器应用运行环境,安全、稳定、极致弹性

官方博客
官网链接