在AlibabaCloud上，如何使用AD FS進行SSO登入并完成在容器服務ACK叢集中的身份驗證之 【使用者SSO】

阿裡雲支援基于SAML 2.0的SSO（Single Sign On，單點登入），也稱為身份聯合登入。本文以Microsoft Active Directory (AD) 為例為您介紹企業如何使用自有的身份系統實作與阿裡雲的SSO并在容器服務ACK叢集中進行身份驗證。

本文主要介紹 AD FS的安裝部署 ， 使用者SSO 配置和登入， 如需了解 角色SSO 配置和登入 請參考

在AlibabaCloud上，如何使用AD FS進行 【角色SSO】 并完成在容器服務ACK叢集中的身份驗證

一. 安裝部署Microsoft AD

1. 打開 "Server Manager"，單擊 “Add roles and features”

   

2. 單擊 “Next”

   

1. 選擇 “Active Director Domain Service” "Add Featrues"

   

1. 安裝完成後點選 “Promote this server to a domain controller”

   

2. "Add a new forest"

   本示例中我們使用“testdomain.com”

安裝完成後，伺服器會重新開機：

1. Start Menu -> Active Directory Users and Computers

   

2. new Org and new Users

   

二. 安裝CA

1. 選擇“Add roles and features” 安裝CA

   

2. 點選下一步直到選擇"Active Directory Certificate Services"

   

1. 通路 http://localhost/certsrv 確定 CA安裝成功

   

三. 安裝ADFS

1. 添加服務賬号

   

1. 安裝ADFS

   

1. 測試 https://adserver.testdomain.com/adfs/ls/idpinitiatedsignon

四. 配置AD到阿裡雲的單點登入

1. 在 RAM控制台

   配置ADFS

   首先通路

   https://adserver.testdomain.com/FederationMetadata/2007-06/FederationMetadata.xml 下載下傳 FederationMetadata.xml檔案

通路阿裡雲RAM控制台Settings -> Advanced -> SSO Settings：

更改"SSO Status" 為 "Enabled" 并且 "Upload" FederationMetadata.xml檔案：

點選“OK”：

1. 在ADFS中配置阿裡雲RAM為可信SAML SP

   AD FS -> Tools -> AD FS Management:

Trust Relationships -> Replying Party Trusts -> Add Replying Trust:

the URL can be found in ram console:

Add rules:

選擇"Transform an Incoming Claim"：

現在我們在AD上有以下組和使用者：

Group001:

testuser01 testuser02

Group002:

testuser03 testuser04

我們在RAM控制台也建立相應的組和使用者：

使用子賬号testuser01 testuser02 testuser03 testuser04測試登入操作：

使用[email protected]登入：

五. 為子賬戶授權ACK叢集操作權限

此時子賬戶沒有任何叢集操作權限：

我們可以建立一個自定義政策允許group01下的使用者對命名空間ci有讀寫權限：

授權完成後通路叢集資源：

參考

子賬号RBAC權限配置指導

為子賬戶授權。

參考文檔：

https://help.aliyun.com/document_detail/93685.html https://help.aliyun.com/document_detail/87656.html