SSO概览

产品文档

访问控制

2024-11-14 13:26:04

SSO概览

京东云支持基于 SAML 2.0的 SSO(Single Sign On,单点登录),通过 IdP 身份验证的外部用户可直接访问您的京东云资源。京东云目前支持两种 SSO 登录方式:用户 SSO、角色 SSO。

SSO基本概念

概览 说明
身份提供商(IdP) 一个包含有关外部身份提供商元数据的实体,身份提供商可以提供身份管理服务。
服务提供商(SP) 利用 IdP 的身份管理功能,为用户提供具体服务的应用,SP 会使用 IdP 提供的用户信息。一些非 SAML 协议的身份系统(例如:OpenID Connect),也把服务提供商称作 IdP 的信赖方。
安全断言标记语言(SAML 2.0) 实现企业级用户身份认证的标准协议,它是 SP 和 IdP 之间实现沟通的技术实现方式之一。SAML 2.0已经是目前实现企业级 SSO 的一种事实标准。
SAML 断言(SAML assertion) SAML 协议中用来描述认证请求和认证响应的核心元素。例如:用户的具体属性就包含在认证响应的断言里。
信赖(Trust) 建立在SP和IdP之间的互信机制,通常由公钥和私钥来实现。SP通过可信的方式获取IdP的SAML元数据,元数据中包含IdP签发SAML断言的签名验证公钥,SP则使用公钥来验证断言的完整性。
验证指纹 为了防止颁发者 URL 被恶意劫持或篡改,您需要配置外部 IdP 的 HTTPS CA 证书生成的验证指纹。京东云会辅助您自动计算该验证指纹,但是建议您在本地自己计算一次(例如:使用 OpenSSL 计算指纹),与京东云计算的指纹进行对比。如果对比发现不同,则说明该颁发者 URL 可能已经受到攻击,请您务必再次确认,并填写正确的指纹。

SSO方式

京东云提供以下两种 SSO 方式:
用户 SSO
京东云通过 IdP 颁发的 SAML 断言确定企业用户与京东云 IAM 用户的对应关系 。企业可以在本地 IdP 中管理员工信息,企业员工可通过指定的链接登录京东云,企业用户登录后,使用该 IAM 用户访问京东云资源。
角色 SSO
SAML 角色 SSO:京东云通过 IdP 颁发的 SAML 断言确定企业用户在京东云上可以使用的 IAM 角色。企业用户登录后,使用 SAML 断言中指定的 IAM 角色访问京东云资源。更多信息,请参见 SAML 角色 SSO 。

SSO方式比较

SSO方式 SP发起的SSO IDP发起的SSO 使用IAM用户账号和密码登录 一次性配置IDP关联多个京东云账号 多个IDP
用户SSO 支持 支持 不支持 不支持 支持
角色SSO 不 支持 支持 支持 支持 支持
文档反馈

开始与售前顾问沟通

可直接拨打电话 400-098-8505转1

我们的产品专家为您找到最合适的产品/解决⽅案

在线咨询 5*8⼩时

1v1线上咨询获取售前专业咨询

点击咨询
企微服务助手

专业产品顾问,随时随地沟通