操作场景
腾讯云与企业进行用户 SSO 时,腾讯云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过用户SSO,企业员工在登录后,将以 CAM 子用户访问腾讯云。
操作步骤
配置流程
为了建立腾讯云与企业 IdP 之间的互信关系,需要对腾讯云 SP 进行 SAML 配置,同时也要对企业 IdP 进行 SAML 配置,两边配置完成后才能进行用户 SSO。
1. 将企业 IdP 配置到腾讯云。
操作目的:为了建立腾讯云对企业 IdP 的信任。
2. 在企业 IdP 中配置腾讯云为可信 SP 并进行 SAML 断言属性的配置。
操作目的:为了建立企业 IdP 对腾讯云的信任。
3. 企业登录到 CAM 控制台 或通过 API 调用创建与企业 IdP 中名称完全匹配的 CAM 子用户。 操作目的:为了使用子用户进行后续登录操作。
登录验证流程
完成上述用户 SSO 的相关配置后,企业 IdP 中的用户便可通过 SSO 的方式登录腾讯云并访问有权限的资源。以用户 user1 为例,其具体的登录验证流程如下:
1. user1 在腾讯云子用户登录界面发起用户 SSO 登录。
2. 腾讯云将 SAML 认证请求返回给浏览器。
3. 浏览器将接收到的 SAML 认证请求转发给企业 IdP。
4. 企业 IdP 认证用户 user1,并在认证通过后生成 SAML 响应返回给浏览器。
5. 浏览器将接收到的 SAML 响应转发给腾讯云。
6. 腾讯云通过 SAML 互信配置,验证 SAML 断言的真伪和完整性,并通过 SAML 断言中的 NameID 元素值,匹配到腾讯云账号中的 CAM 子用户。
7. 验证且匹配成功后,腾讯云向浏览器返回控制台的 URL 并成功登录。