在AlibabaCloud上,如何使用AD FS进行 【角色SSO】 并完成在容器服务ACK集群中的身份验证

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 阿里云与企业进行角色 SSO 时,阿里云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过角色 SSO,企业可以在本地 IdP 中管理员工信息,无需进行阿里云和企业 IdP 间的用户同步,企业员工将使用指定的 RAM 角色来登录阿里云。

阿里云与企业进行角色 SSO 时,阿里云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过角色 SSO,企业可以在本地 IdP 中管理员工信息,无需进行阿里云和企业 IdP 间的用户同步,企业员工将使用指定的 RAM 角色来登录阿里云。

本文主要介绍 AD FS的配置角色SSO 配置和登录, 如需了解 用户SSO 配置和登录 请参考 在AlibabaCloud上,如何使用AD FS进行 【用户SSO】 并完成在容器服务ACK集群中的身份验证

一. 在阿里云 RAM控制台将AD FS配置为可信SAML IdP

  1. 创建名为 adfs 的身份提供商, 并配置相应的元数据。

首先访问https://adserver.testdomain.com/FederationMetadata/2007-06/FederationMetadata.xml下载 FederationMetadata.xml文件 (adserver.testdomain.com为已搭建好的AD FS服务器域名)
RAM控制台 -> SSO管理 -> 角色SSO -> 新建身份提供商:
image

  1. 创建可信实体类型为身份提供商的RAM角色ADFS-Admin 和 ADFS-Reader,并分别授予 AdministratorAccess和ReadOnlyAccess权限。

RAM控制台 -> RAM角色管理 -> 新建RAM角色 -> 选择步骤1中创建的身份提供商:
image

分别为 RAM角色ADFS-Admin 和 ADFS-Reader 授予 AdministratorAccess和ReadOnlyAccess权限。

二. 在AD FS中配置阿里云为可信SAML SP

在 AD FS 中,SAML SP 被称作信赖方(Relying Party)。设置阿里云作为 AD FS 的可信 SP 的操作步骤如下:

  1. 服务器管理器 -> 工具菜单 -> 选择AD FS 管理
    image

image

Federation metadata address: https://signin.aliyun.com/saml-role/sp-metadata.xml
image

  1. 为阿里云SP配置 SAML断言属性
    image

Add rules(参考https://help.aliyun.com/document_detail/110616.html):
(1) NameID:
image
(2) RoleSessionName:
image
(3) Role:
image
(4) Get AD Groups:
image

  1. 配置验证
    在AD FS中创建group Aliyun-<your uid>-ADFS-ReaderAliyun-<your uid>-ADFS-Admin, 创建user liusheng并加入group Aliyun-<your uid>-ADFS-ReaderAliyun-<your uid>-ADFS-Admin

image

登录 AD FS SSO 门户, 本示例为https://adserver.testdomain.com/adfs/ls/idpinitiatedsignon
image

image

image
选择一个角色进行SSO登录, 如选择ADFS-Admin角色登录:
image

  1. 访问ACK容器服务并为角色配置权限

访问容器集群ls-test的应用资源:
image

授权管理 -> RAM角色 -> 填写角色名称并点击管理权限
image

为容器集群ls-test授权管理员权限,并根据提示完成授权:
image

再次访问容器集群ls-test的应用资源验证授权成功:
image

参考文档:
https://help.aliyun.com/document_detail/110616.html

相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
目录
相关文章
|
8天前
|
缓存 容灾 网络协议
ACK One多集群网关:实现高效容灾方案
ACK One多集群网关可以帮助您快速构建同城跨AZ多活容灾系统、混合云同城跨AZ多活容灾系统,以及异地容灾系统。
|
18天前
|
Kubernetes Ubuntu 网络安全
ubuntu使用kubeadm搭建k8s集群
通过以上步骤,您可以在 Ubuntu 系统上使用 kubeadm 成功搭建一个 Kubernetes 集群。本文详细介绍了从环境准备、安装 Kubernetes 组件、初始化集群到管理和使用集群的完整过程,希望对您有所帮助。在实际应用中,您可以根据具体需求调整配置,进一步优化集群性能和安全性。
77 12
|
21天前
|
Prometheus Kubernetes 监控
OpenAI故障复盘 - 阿里云容器服务与可观测产品如何保障大规模K8s集群稳定性
聚焦近日OpenAI的大规模K8s集群故障,介绍阿里云容器服务与可观测团队在大规模K8s场景下我们的建设与沉淀。以及分享对类似故障问题的应对方案:包括在K8s和Prometheus的高可用架构设计方面、事前事后的稳定性保障体系方面。
|
23天前
|
Kubernetes 网络协议 应用服务中间件
Kubernetes Ingress:灵活的集群外部网络访问的利器
《Kubernetes Ingress:集群外部访问的利器-打造灵活的集群网络》介绍了如何通过Ingress实现Kubernetes集群的外部访问。前提条件是已拥有Kubernetes集群并安装了kubectl工具。文章详细讲解了Ingress的基本组成(Ingress Controller和资源对象),选择合适的版本,以及具体的安装步骤,如下载配置文件、部署Nginx Ingress Controller等。此外,还提供了常见问题的解决方案,例如镜像下载失败的应对措施。最后,通过部署示例应用展示了Ingress的实际使用方法。
51 2
|
1月前
|
存储 Kubernetes 关系型数据库
阿里云ACK备份中心,K8s集群业务应用数据的一站式灾备方案
本文源自2024云栖大会苏雅诗的演讲,探讨了K8s集群业务为何需要灾备及其重要性。文中强调了集群与业务高可用配置对稳定性的重要性,并指出人为误操作等风险,建议实施周期性和特定情况下的灾备措施。针对容器化业务,提出了灾备的新特性与需求,包括工作负载为核心、云资源信息的备份,以及有状态应用的数据保护。介绍了ACK推出的备份中心解决方案,支持命名空间、标签、资源类型等维度的备份,并具备存储卷数据保护功能,能够满足GitOps流程企业的特定需求。此外,还详细描述了备份中心的使用流程、控制台展示、灾备难点及解决方案等内容,展示了备份中心如何有效应对K8s集群资源和存储卷数据的灾备挑战。
|
2月前
|
Kubernetes 监控 Cloud Native
Kubernetes集群的高可用性与伸缩性实践
Kubernetes集群的高可用性与伸缩性实践
85 1
|
3月前
|
JSON Kubernetes 容灾
ACK One应用分发上线:高效管理多集群应用
ACK One应用分发上线,主要介绍了新能力的使用场景
|
3月前
|
Kubernetes 持续交付 开发工具
ACK One GitOps:ApplicationSet UI简化多集群GitOps应用管理
ACK One GitOps新发布了多集群应用控制台,支持管理Argo CD ApplicationSet,提升大规模应用和集群的多集群GitOps应用分发管理体验。
|
3月前
|
Kubernetes Ubuntu Linux
Centos7 搭建 kubernetes集群
本文介绍了如何搭建一个三节点的Kubernetes集群,包括一个主节点和两个工作节点。各节点运行CentOS 7系统,最低配置为2核CPU、2GB内存和15GB硬盘。详细步骤包括环境配置、安装Docker、关闭防火墙和SELinux、禁用交换分区、安装kubeadm、kubelet、kubectl,以及初始化Kubernetes集群和安装网络插件Calico或Flannel。
266 4
|
3月前
|
Kubernetes 应用服务中间件 nginx
搭建Kubernetes v1.31.1服务器集群,采用Calico网络技术
在阿里云服务器上部署k8s集群,一、3台k8s服务器,1个Master节点,2个工作节点,采用Calico网络技术。二、部署nginx服务到k8s集群,并验证nginx服务运行状态。
1166 1

相关产品

  • 容器服务Kubernetes版