腾讯云与企业进行角色 SSO 时,腾讯云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过角色 SSO,企业可以在本地 IdP 中管理员工信息,无需进行腾讯云和企业 IdP 间的用户同步,企业员工将使用指定的 CAM 角色登录腾讯云。
基本流程
企业员工可以通过控制台或程序访问腾讯云。
通过控制台访问腾讯云
当管理员在完成角色 SSO 的相关配置后,企业员工可以通过以下方法登录到腾讯云。基本流程如下:
1. 使用浏览器在 IdP 的登录页面中选择腾讯云作为目标服务。
2. IdP 生成一个 SAML 响应并返回给浏览器。
3. 浏览器重定向到 SSO 服务页面,并转发 SAML 响应给 SSO 服务。
4. SSO 服务使用 SAML 响应向腾讯云 STS 服务请求临时安全凭证,并生成一个可以使用临时安全凭证登录腾讯云控制台的 URL。
5. SSO 服务将 URL 返回给浏览器。
6. 浏览器重定向到该 URL,以指定 CAM 角色登录到腾讯云控制台。
通过程序访问腾讯云
企业员工通过编写程序来访问腾讯云,基本流程如下:
1. 使用程序向企业 IdP 发起登录请求。
2. IdP 生成一个 SAML 响应,其中包含关于登录用户的 SAML 断言,并将此响应返回给程序。
3. 程序调用腾讯云 STS 服务提供的 APIAssumeRoleWithSAML,并传递以下信息:腾讯云中身份提供商的 PrincipalArn(扮演者访问描述名)、要扮演的角色的 RoleArn(角色访问描述名) 以及来自企业 IdP 的 SAML 断言信息。
4. STS 服务将校验 SAML 断言并返回临时安全凭证给程序。
5. 程序使用临时安全凭证调用腾讯云 API。
配置步骤
为了建立腾讯云与企业 IdP 之间的互信关系,需要进行腾讯云作为 SP 的 SAML 配置和企业 IdP 的 SAML 配置,配置完成后才能进行角色 SSO。
3. 为了建立企业 IdP 对腾讯云的信任,需要在企业 IdP 中配置腾讯云为可信 SAML SP 并进行 SAML 断言属性的配置。
配置示例