百度智能云单点登录

单点登录SSO
最后更新时间: 1/17/2024, 2:31:51 PM

# 说明

通过配置IDaaS的SAML节点和百度智能云SP的 外部账户接入 > IAM角色SSO ,从而实现以百度智能云的角色身份从IDaaS到百度智能云的单点登录(SSO)。百度智能云配置参考文档 (opens new window)

# 认证配置

# 百度智能云配置

  1. 登录百度智能云控制台。

  2. 在“多用户访问控制”选择“外部账号接入-IAM角色联合”。

  3. 点击“身份提供者。

  4. 填写名称并上传IDaaS IDP元数据文件后,点击“确认”,下载IDaaS的IDP元数据请访问 https://{your_domain}/api/v1/saml2/idp/metadata。

  5. 配置IAM角色并授权。

  6. 从左侧导航栏中点击角色管理,配置当以外部身份单点登录到百度智能云时可配置的角色,这里以虚拟机BCC的管理人员角色为例。

  7. 点击创建新角色,填写角色名称如“BCCAdmin”,描述为“BCC管理人员角色”。

  8. 在角色载体中,选择载体类型为外部账号,载体实例选择上一步中添加的IDP名称。

  9. 还可以为IdP设定可切换到百度智能云的条件限制,当前百度智能云支持的属性字段有:saml:iss, saml:aud, saml:cn, saml:eduPersonAffiliation, eduPersonPrincipalName。添加限制条件的作用在于更精细化的权限控制,只有在某些条件匹配下,才可以以BCCAdmin角色的形式SSO到百度智能云。

  10. 在策略管理中,将“BCCFullControlAccessPolicy”授予给当前角色,点击完成。

  11. 如果你需要为当前IdP设置不同的角色,可以按照如上步骤继续配置,IdP内身份SSO到百度智能云时,通过https://bce.baidu.com/SAML/Attributes/Role属性字段roleName进行切换。

# IDaaS配置

  1. 添加百度智能云预置应用。

  2. 配置认证参数,百度智能云元数据地址 (opens new window),保存为sp.xml文件。

  3. 导入sp元数据或可以手动添加。

  4. 映射配置。

  5. 进入应用详情-授权管理-应用账号,点击添加账号按钮,选择授权用户。

# 登录验证

授权用户进入用户中心,点击百度智能云logo,即可单点百度智能云后台。