阿里云体验之集成Azure Active Directory

Posted on
image-20200706101659716

背景

账号管理是企业上云过程中很重要的一环,而Azure Active Directory是其中的佼佼者.今天就来介绍一下如何用Azure Active Directory来SSO到阿里云

Azure配置

新增企业应用程序

  1. 进入AD的主页, 并点击左侧菜单中的企业应用程序

  2. 新建应用,不需要从模板中新建(跟阿里云官网的文档不太一样)

  3. 进入应用后,点击左侧菜单的单一登录,并选择SAML

  4. 下载阿里云提供的meta模板,上传到这里,如图

  5. 编辑用户属性和声明

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    # https://www.aliyun.com/SAML-Role/Attributes/Role的填写格式
    acs:ram::{账号ID}:role/{角色名称},acs:ram::{账号ID}:saml-provider/{身份提供商名称}
    示例:
    账号ID: 1764263188888888
    角色名称: AzureAdmin
    Idp名称: Azure

    acs:ram::1764263188888888:role/AzureAdmin,acs:ram::1764263188888888:saml-provider/Azure

    # https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName的填写格式
    这里可以随便取个名字

    # 如下图

  6. 登录测试

删除企业应用程序

跟本流程无关

顺便介绍一下怎么删除应用,进入你要删除的应用程序

如果这里的删除按钮是灰色,则可以使用PowerShell来删除

1
2
3
4
5
6
7
8
# 连接AD
Connect-AzureAD

# 获取应用列表
Get-AzureADServicePrincipal

# 根据objectID删除应用
Remove-AzureADServicePrincipal -objectid [ObjectID]

Aliyun配置

  1. 进入RAM的SSO设置页面,新建身份提供商,也就是Azure Active Directory

    Screen Shot 2020-07-06 at 11.03.58

  2. 新建RAM角色并授权,AzureAD SSO过来的用户就是用这个角色登录到Aliyun的

    Screen Shot 2020-07-06 at 11.06.06