2024-11-14 13:26:04
京东云支持基于 SAML 2.0的 SSO(Single Sign On,单点登录),通过 IdP 身份验证的外部用户可直接访问您的京东云资源。京东云目前支持两种 SSO 登录方式:用户 SSO、角色 SSO。
概览 | 说明 |
---|---|
身份提供商(IdP) | 一个包含有关外部身份提供商元数据的实体,身份提供商可以提供身份管理服务。 |
服务提供商(SP) | 利用 IdP 的身份管理功能,为用户提供具体服务的应用,SP 会使用 IdP 提供的用户信息。一些非 SAML 协议的身份系统(例如:OpenID Connect),也把服务提供商称作 IdP 的信赖方。 |
安全断言标记语言(SAML 2.0) | 实现企业级用户身份认证的标准协议,它是 SP 和 IdP 之间实现沟通的技术实现方式之一。SAML 2.0已经是目前实现企业级 SSO 的一种事实标准。 |
SAML 断言(SAML assertion) | SAML 协议中用来描述认证请求和认证响应的核心元素。例如:用户的具体属性就包含在认证响应的断言里。 |
信赖(Trust) | 建立在SP和IdP之间的互信机制,通常由公钥和私钥来实现。SP通过可信的方式获取IdP的SAML元数据,元数据中包含IdP签发SAML断言的签名验证公钥,SP则使用公钥来验证断言的完整性。 |
验证指纹 | 为了防止颁发者 URL 被恶意劫持或篡改,您需要配置外部 IdP 的 HTTPS CA 证书生成的验证指纹。京东云会辅助您自动计算该验证指纹,但是建议您在本地自己计算一次(例如:使用 OpenSSL 计算指纹),与京东云计算的指纹进行对比。如果对比发现不同,则说明该颁发者 URL 可能已经受到攻击,请您务必再次确认,并填写正确的指纹。 |
京东云提供以下两种 SSO 方式:
用户 SSO
京东云通过 IdP 颁发的 SAML 断言确定企业用户与京东云 IAM 用户的对应关系 。企业可以在本地 IdP 中管理员工信息,企业员工可通过指定的链接登录京东云,企业用户登录后,使用该 IAM 用户访问京东云资源。
角色 SSO
SAML 角色 SSO:京东云通过 IdP 颁发的 SAML 断言确定企业用户在京东云上可以使用的 IAM 角色。企业用户登录后,使用 SAML 断言中指定的 IAM 角色访问京东云资源。更多信息,请参见 SAML 角色 SSO 。
SSO方式 | SP发起的SSO | IDP发起的SSO | 使用IAM用户账号和密码登录 | 一次性配置IDP关联多个京东云账号 | 多个IDP |
---|---|---|---|---|---|
用户SSO | 支持 | 支持 | 不支持 | 不支持 | 支持 |
角色SSO | 不 支持 | 支持 | 支持 | 支持 | 支持 |
我们的产品专家为您找到最合适的产品/解决⽅案
1v1线上咨询获取售前专业咨询
专业产品顾问,随时随地沟通