访问管理使用OneLogin进行角色SSO的示例-最佳实践-腾讯云

操作场景
OneLogin 是一家云身份访问管理解决方案提供商，可以通过其身份认证系统一键登录企业内部所有需要的系统平台。腾讯云支持基于 SAML 2.0（安全断言标记语言 2.0）的联合身份验证，SAML 2.0 是 OneLogin 等许多身份验证提供商（Identity Provider，IdP）使用的一种开放标准。
?
本示例中，企业拥有一个腾讯云账号、一个 OneLogin 管理员用户和多个 OneLogin 普通用户。企业希望经过配置，使 OneLogin 普通用户直接使用 OneLogin 账号通过角色 SSO 的方式访问腾讯云，不需要在腾讯云重新创建账号。
?
OneLogin 的详细信息，请参见 OneLogin帮助文档。
操作步骤
创建 OneLogin 企业应用程序
说明
您可以通过本步骤创建 OneLogin 企业应用程序。如您已经有正在使用的应用程序，请忽略本操作，进行 配置 CAM。
本文中应用程序名称以 “test” 为示例。
1. ?登录并访问 OneLogin 网站，单击 Applications，进入应用管理页。
?
2. 在应用管理页，单击右上角 ADD APP。
3. 在搜索框中输入 “SAML”，按 “Enter”键，并在结果列表中单击 Pilot Catastrophe SAML( IdP )。如下图所示：
?
?
4. 在 Display Name 中输入应用名 ，并单击右上角 Save，即可完成应用程序的创建。如下图所示：
?
?
配置 CAM
说明
您可以通过本步骤配置 OneLogin 和腾讯云之间的信任关系使之相互信任。
本示例中 SAML 身份提供商以及角色名称均为 “test”。
1. 在 OneLogin 应用管理页，选择您已创建的应用 test。
2. 单击右上角 More Actions，选择 SAML Metadata，下载 IDP 云数据文档。如下图所示：
?
?
3. 创建腾讯云 CAM 身份提供商以及角色，详细操作请参见 创建身份提供商、创建角色 为身份提供商创建角色。
配置 OneLogin 单点登录
说明
您可以通过本步骤将 OneLogin 应用程序属性映射到腾讯云的属性，建立 OneLogin 应用程序和腾讯云的互信关系。
1. 在 OneLogin 应用管理页，单击已创建的 “test” 应用，跳转至应用编辑页。
2. 选择 Configuration 页签，输入以下内容，单击 Save。如下图所示：
?
?
您可以根据您的腾讯云账号所在站点进行配置：
所在站点
SAML Consumer URL
SAML Audience
SAML Recipient
中国站
/login/saml
/login/saml
国际站
https://tencentcloud.com/login/saml
https://tencentcloud.com/login/saml
https://tencentcloud.com/login/saml
说明
SAML Recipient 为跳转的腾讯云页面，如您需要指定其他页面，可使用/login/saml?s_url=xxxx 形式指定，其中 xxxx 为需要指定的地址，需要做 urlencode。
3. 单击 Parameters，单击 
?
，添加以下两条配置信息。
Field name
Flags
Value
源属性
/SAML/Attributes/Role
Include in SAML assertion
Macro
qcs::cam::uin/{AccountID}:roleName/{RoleName1};qcs::cam::uin/{AccountID}:roleName/{RoleName2},qcs::cam::uin/{AccountID}:saml-provider/{ProviderName}
/SAML/Attributes/RoleSessionName
Include in SAML assertion
Macro
Test
说明：
在 Role 源属性中 {AccountID}，{RoleName} ，{ProviderName} 分别替换内容下：
{AccountID} 替换为您的腾讯云账户 ID，可前往?账号信息 - 控制台?查看。
{RoleName} 替换您在腾讯云创建的角色名称，可前往?角色 - 控制台?查看。
{ProviderName} 替换您在腾讯云创建的 SAML 身份提供商名称，可前往?身份提供商 - 控制台?查看。
4. 单击右上角 Save 保存配置。
配置 OneLogin 用户
1. 登录并访问 OneLogin 网站，单击 Users，进入用户管理页面。
2. 单击右上角 New User，跳转至新建用户页。
3. ?输入 “First name” 
、“Last name”、“Email”、“Username”，单击 Save User 保存。如下图所示：
?
?
说明
此账户密码可查看 Email，或单击 More Actions 选择 change password 修改密码。
4. 单击用户编辑页 Applications，选择右侧的 
?
。如下图所示：
?
?
5. 在弹出对话框选择您已创建的 SAML 应用 “test”，单击 Continue。如下图所示：
?
?
6. 在 Edit test login for test test 页面，单击 Save。如下图所示：
?
?
7. 使用 步骤3 创建的账户登录 OneLogin ，访问上述创建的 SAML 应用 “test”，即可跳转至腾讯云控制台。

所在站点	SAML Consumer URL	SAML Audience	SAML Recipient
中国站	/login/saml		/login/saml
国际站	https://tencentcloud.com/login/saml	https://tencentcloud.com/login/saml	https://tencentcloud.com/login/saml

Field name	Flags	Value	源属性
/SAML/Attributes/Role	Include in SAML assertion	Macro	qcs::cam::uin/{AccountID}:roleName/{RoleName1};qcs::cam::uin/{AccountID}:roleName/{RoleName2},qcs::cam::uin/{AccountID}:saml-provider/{ProviderName}
/SAML/Attributes/RoleSessionName	Include in SAML assertion	Macro	Test

使用OneLogin进行角色SSO的示例

本页目录：

操作场景

操作步骤

创建 OneLogin 企业应用程序

配置 CAM

配置 OneLogin 单点登录

配置 OneLogin 用户