操作场景
OneLogin 是一家云身份访问管理解决方案提供商,可以通过其身份认证系统一键登录企业内部所有需要的系统平台。腾讯云支持基于 SAML 2.0(安全断言标记语言 2.0)的联合身份验证,SAML 2.0 是 OneLogin 等许多身份验证提供商(Identity Provider,IdP)使用的一种开放标准。
?
本示例中,企业拥有一个腾讯云账号、一个 OneLogin 管理员用户和多个 OneLogin 普通用户。企业希望经过配置,使 OneLogin 普通用户直接使用 OneLogin 账号通过角色 SSO 的方式访问腾讯云,不需要在腾讯云重新创建账号。
?
操作步骤
创建 OneLogin 企业应用程序
1. ??
2. 在应用管理页,单击右上角 ADD APP。
3. 在搜索框中输入 “SAML”,按 “Enter”键,并在结果列表中单击 Pilot Catastrophe SAML( IdP )。如下图所示:
?
?4. 在 Display Name 中输入应用名 ,并单击右上角 Save,即可完成应用程序的创建。如下图所示:
?
?配置 CAM
说明
您可以通过本步骤配置 OneLogin 和腾讯云之间的信任关系使之相互信任。
本示例中 SAML 身份提供商以及角色名称均为 “test”。
1. 在 OneLogin 应用管理页,选择您已创建的应用 test。
2. 单击右上角 More Actions,选择 SAML Metadata,下载 IDP 云数据文档。如下图所示:
?
?配置 OneLogin 单点登录
说明
您可以通过本步骤将 OneLogin 应用程序属性映射到腾讯云的属性,建立 OneLogin 应用程序和腾讯云的互信关系。
1. 在 OneLogin 应用管理页,单击已创建的 “test” 应用,跳转至应用编辑页。
2. 选择 Configuration 页签,输入以下内容,单击 Save。如下图所示:
?
?您可以根据您的腾讯云账号所在站点进行配置:
所在站点 | SAML Consumer URL | SAML Audience | SAML Recipient |
中国站 | /login/saml | /login/saml | |
国际站 | https://tencentcloud.com/login/saml | https://tencentcloud.com/login/saml | https://tencentcloud.com/login/saml |
说明
SAML Recipient 为跳转的腾讯云页面,如您需要指定其他页面,可使用
/login/saml?s_url=xxxx
形式指定,其中 xxxx 为需要指定的地址,需要做 urlencode。3. 单击 Parameters,单击
?
,添加以下两条配置信息。Field name | Flags | Value | 源属性 |
/SAML/Attributes/Role | Include in SAML assertion | Macro | qcs::cam::uin/{AccountID}:roleName/{RoleName1};qcs::cam::uin/{AccountID}:roleName/{RoleName2},qcs::cam::uin/{AccountID}:saml-provider/{ProviderName} |
/SAML/Attributes/RoleSessionName | Include in SAML assertion | Macro | Test |
说明:
在 Role 源属性中 {AccountID},{RoleName} ,{ProviderName} 分别替换内容下:
{AccountID} 替换为您的腾讯云账户 ID,可前往?账号信息 - 控制台?查看。
{RoleName} 替换您在腾讯云创建的角色名称,可前往?角色 - 控制台?查看。
{ProviderName} 替换您在腾讯云创建的 SAML 身份提供商名称,可前往?身份提供商 - 控制台?查看。
4. 单击右上角 Save 保存配置。
配置 OneLogin 用户
1. 登录并访问 OneLogin 网站,单击 Users,进入用户管理页面。
2. 单击右上角 New User,跳转至新建用户页。
3. ?
输入 “First name”
、“Last name”、“Email”、“Username”,单击 Save User 保存。如下图所示:
?
?说明
此账户密码可查看 Email,或单击 More Actions 选择 change password 修改密码。
4. 单击用户编辑页 Applications,选择右侧的
?
。如下图所示:
?
?5. 在弹出对话框选择您已创建的 SAML 应用 “test”,单击 Continue。如下图所示:
?
?6. 在 Edit test login for test test 页面,单击 Save。如下图所示:
?
?7. 使用 步骤3 创建的账户登录 OneLogin ,访问上述创建的 SAML 应用 “test”,即可跳转至腾讯云控制台。