百度智能云单点登录

单点登录SSO

# 说明

通过配置IDaaS的SAML节点和百度智能云SP的外部账户接入 > IAM角色SSO ，从而实现以百度智能云的角色身份从IDaaS到百度智能云的单点登录(SSO)。百度智能云配置参考文档 (opens new window)。

登录百度智能云控制台。
在“多用户访问控制”选择“外部账号接入-IAM角色联合”。
点击“身份提供者。
填写名称并上传IDaaS IDP元数据文件后，点击“确认”，下载IDaaS的IDP元数据请访问 https://{your_domain}/api/v1/saml2/idp/metadata。
配置IAM角色并授权。
从左侧导航栏中点击角色管理，配置当以外部身份单点登录到百度智能云时可配置的角色，这里以虚拟机BCC的管理人员角色为例。
点击创建新角色，填写角色名称如“BCCAdmin”，描述为“BCC管理人员角色”。
在角色载体中，选择载体类型为外部账号，载体实例选择上一步中添加的IDP名称。
还可以为IdP设定可切换到百度智能云的条件限制，当前百度智能云支持的属性字段有：saml:iss, saml:aud, saml:cn, saml:eduPersonAffiliation, eduPersonPrincipalName。添加限制条件的作用在于更精细化的权限控制，只有在某些条件匹配下，才可以以BCCAdmin角色的形式SSO到百度智能云。
在策略管理中，将“BCCFullControlAccessPolicy”授予给当前角色，点击完成。
如果你需要为当前IdP设置不同的角色，可以按照如上步骤继续配置，IdP内身份SSO到百度智能云时，通过https://bce.baidu.com/SAML/Attributes/Role属性字段roleName进行切换。