iT邦幫忙

2022 iThome 鐵人賽

DAY 22
0
自我挑戰組

阿里雲原生服務大集結系列 第 22

Day22 跨雲整合AD與單一登入SSO - 下集

  • 分享至 

  • xImage
  •  

哈囉,看完昨天的上集,我們來到實戰演練的下集啦!

本次實作將帶大家操作筆者昨天描述的架構,該怎麼做呢?

跟著一起看下去吧!!

SSO整合

  1. 登入 Alibaba Cloud 帳戶,進入 RAM 控制台,進入 SSO 管理。
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893hu8y1K8CAA.png

  2. 選擇用戶 SSO ,複製 SAML 服務提供商元數據 URL,並下載頁面,保存 SpMetadata.xml 文件後續使用。
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893o2vuJgGYao.png
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893OBfto67iEK.png

  3. 在阿里雲完成下載 SP 文件後,登入到要進行 IdP 驗證的 Azure 帳戶選擇 Azure Active Directory。
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893uNBHdx5bnw.png

  4. 在 Azure Active Directory (AAD) 裡,選擇企業應用程序,我們要新增應用程式讓 AAD 做為阿里雲帳戶登入的 IdP 角色做配置。
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893O1oqparqn1.png
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893kqYxyDLu7s.png

  5. 進入應用程式庫後,可以看到 Azure 提供了多種不同服務提供商的 SSO 模板可以使用,也有 Alibaba Cloud,但這裏我們需要建立登入後透過 Alibaba- Cloud 的用戶模式驗證,選擇建立新的應用程式,提供一個應用名稱選擇整合非資源庫應用。
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893U78czlHOCg.png

  6. 我們得到了一個新的應用程序,接著進入單一登入選項,選擇透過 SAML 通訊協定登入方法 。
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893XbBJefJKdi.png

  7. 進入後可以看到 SAML 的設定及簽署宣告等狀態,這裡我們將前面步驟 2 在Alibaba Cloud 下載的 SP 文件上傳,並確認儲存。
    https://ithelp.ithome.com.tw/upload/images/20220922/201418936oZthcbIXu.png

  8. 完成後可以看到已經將 SP 的信息文件匯入,自動帶入標記識別碼、回覆 URL 地址 ,接著下載 IdP 的中繼 xml 文件並保存。
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893sbDjE0T35e.png

  9. 回到 Azure AD 我們需要建立登入的使用者,並新增了三個使用者分別為 manager、SA1、SA2 後續可以分配各自的權限。
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893P6AtRIVnnQ.png
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893O0LZ2ibRlI.png

  10. 回到設定應用程式權限,在 Azure AD > 企業應用程式 > 選擇建立的應用程式,在使用者與群組中新增 manager、SA1、SA2 使用者。
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893D1E8sAJaDE.png
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893eZztJDa6AG.png

  11. 在使用 Alibaba Cloud 用戶 SSO 登入驗證,必須在 SP 上也建立相同的使用者名稱,回到 Alibaba Cloud 在 RAM 上建立相同使用者 manager、SA1、SA2 。
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893sjzrsHTus8.png

  12. 進入 SSO 管理,選擇用戶 SSO 編輯,並將 SSO 功能狀態開啟(這裡要注意該功能開啟後在 Alibaba Cloud 上的使用者就無法直接透過帳號密碼登入,必須透過 IdP 驗證才能登入帳戶),元數據檔案要上傳使用在 Azure 下載保存的 IdP 中繼文件,輔助域名為 Azure AD 使用者名稱後綴網域。
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893ap1wVVw5Hp.png
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893um2omeIXQo.png

  13. 完成後我們可以驗證看看有沒有成功,在 RAM 概覽複製用戶登入地址,可以看到這裡顯示須要使用企業帳號登入。
    https://ithelp.ithome.com.tw/upload/images/20220922/201418934AL08dGqYb.png
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893cPZePjIExX.png

  14. 成功跳轉到 Azure 用戶登入頁面,嘗試透過 SA1 使用者進行登入。
    https://ithelp.ithome.com.tw/upload/images/20220922/201418937Sx8dIWrsh.png

  15. 成功透過用戶 SSO 登入 Alibaba Cloud 帳戶。
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893coD82JOEiA.png

分組權限
16. 接著因為還沒對使用者賦予任何權限,因此登入後無法進行任何操作,必須使用最高權限帳戶重新登入配置。
前面我們規劃了三個使用者分別為 Manager、SA1、SA2,接下來可以利用資源組及權限來給予不同用途的使用者權限,首先在資源管理建立兩個新的資源組分別給予 SA1 授權 ECS、OSS權限與 SA2 授權 RDS 權限。
https://ithelp.ithome.com.tw/upload/images/20220922/20141893KniNvdDkWS.png
https://ithelp.ithome.com.tw/upload/images/20220922/20141893CSfcF5Z4ao.png
https://ithelp.ithome.com.tw/upload/images/20220922/20141893iIcLVG4F3o.png

  1. 資源組建立完成後,從 RAM 用戶可以查看 SA1 使用者的權限對 SA1 的資源組內的資源擁有 ECS、OSS 的全部權限,讓不同的使用者分別授予了不同資源群組及權限。
    https://ithelp.ithome.com.tw/upload/images/20220922/20141893mTzf7g9nYK.png

這次實作,主要使用用戶 SSO 單一登入搭配資源組權限,在使用場景上依筆者過往碰到的案例經驗來說,會更為複雜嚴謹。最主要也是讓不同團隊間無法互相查看到相互的資源,以及將能使用的資源權限做到最嚴格的限制。
而透過角色 SSO 單一登入依照 Role 製定權限會更加方便容易上手使用。

本次實作就到這邊結束啦~敬請期待明天的內容吧!


上一篇
Day21 跨雲整合AD與單一登入SSO - 上集
下一篇
Day23 智能語音交互
系列文
阿里雲原生服務大集結30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言