腾讯云与企业进行角色 SSO 时,腾讯云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过角色 SSO,企业可以在本地 IdP 中管理员工信息,无需进行腾讯云和企业 IdP 间的用户同步,企业员工将使用指定的 CAM 角色登录腾讯云。
基本流程
企业员工可以通过控制台或程序访问腾讯云。
通过控制台访问腾讯云
当管理员在完成角色SSO的相关配置后,企业员工可以通过以下方法登录到腾讯云。基本流程如下:
1. 使用浏览器在IdP的登录页面中选择腾讯云作为目标服务。
2. IdP生成一个SAML响应并返回给浏览器。
3. 浏览器重定向到SSO服务页面,并转发SAML响应给SSO服务。
4. SSO服务使用SAML响应向腾讯云STS服务请求临时安全凭证,并生成一个可以使用临时安全凭证登录腾讯云控制台的URL。
5. SSO服务将URL返回给浏览器。
6. 浏览器重定向到该URL,以指定CAM角色登录到腾讯云控制台。
通过程序访问腾讯云
企业员工通过编写程序来访问腾讯云,基本流程如下:
1. 使用程序向企业 IdP 发起登录请求。
2. IdP 生成一个 SAML 响应,其中包含关于登录用户的 SAML 断言,并将此响应返回给程序。
3. 程序调用腾讯云 STS 服务提供的 APIAssumeRoleWithSAML,并传递以下信息:腾讯云中身份提供商的 PrincipalArn(扮演者访问描述名)、要扮演的角色的 RoleArn(角色访问描述名) 以及来自企业 IdP 的 SAML 断言信息。
4. STS 服务将校验 SAML 断言并返回临时安全凭证给程序。
5. 程序使用临时安全凭证调用腾讯云 API。
配置步骤
为了建立腾讯云与企业 IdP 之间的互信关系,需要进行腾讯云作为 SP 的 SAML 配置和企业 IdP 的 SAML 配置,配置完成后才能进行角色 SSO。
1. 为了建立腾讯云对企业 IdP 的信任,需要将企业 IdP 配置到腾讯云。更多信息,请参见 创建 SAML 身份提供商。
2. 企业需要在 CAM 控制台或程序创建用于 SSO 的 CAM 角色,并授予相关权限。更多信息,请参见创建 角色载体为身份提供商的 CAM 角色。
3. 为了建立企业 IdP 对腾讯云的信任,需要在企业 IdP 中配置腾讯云为可信 SAML SP 并进行 SAML 断言属性的配置。
配置示例