SSO场景系列:实现Microsoft AD到阿里云的单点登录

字数 452阅读 1143

在文章合规与安全:阿里云与企业身份系统的集成中,我们介绍了阿里云与企业身份系统的集成,可以配置云账号下的子账号通过企业身份系统登陆。配置要点是

在阿里云目录中配置可信企业SAML IdP

在企业IdP中配置阿里云为可信SAML SP

其中第二点在不同的身份系统中有不同的配置方法。本文以Windows Server 2012 R2为例,介绍如何配置Microsoft AD作为阿里云的单点登录IdP。

前置条件

本文假定用户对Microsoft AD做了合理正确的配置,在Windows Server 2012 R2上配置了以下Server Role

DNS服务器:DNS服务器用来将身份认证请求解析到正确的Federation Service上

Active Directory域服务 (AD DS):域服务提供对域用户和域设备等对象的创建,查询和修改等功能

Active Directory Federation Service (AD FS):Federation Service提供配置联合身份认证依赖方的功能,并对配置好的依赖方提供单点登录认证。

针对配置Active Directory的疑问,用户可以参考微软官方文档或者搜索相关的第三方博客。

示例配置

示例中用到相关配置如下

云账号的目录默认域名为junpu.onaliyun.com

云账号下包含子用户junpu.chen,其完整的User Principal Name(UPN)为junpu.chen@junpu.onaliyun.com

自建Microsoft AD中的AD FS服务名称是adserver.testdomain.com。

自建Microsoft AD的域名为 testdomain.com,NETBIOS名为testdomain。

用户junpu.chen在AD中的UPN为junpu.chen@testdomain.com,域内登陆也可以使用testdomain\junpu.chen

阅读原文

推荐阅读更多精彩内容