通過 SAML 統一身份認證登錄騰訊雲控制臺實戰

本文是熱心網友文達發表在「雲 + 社區」的一篇內容，非常感謝他為 Authing 貢獻指南。

一：什麼是 SAML

SAML 全稱：Security Assertion Markup Language，中文叫法是安全斷言標記語言。首先，它是一種XML格式的語言；然後，它是用來安全地驗證身份的。目前 SAML 有兩標準：SAML 1.1和 SAML 2.0。

二：常用場景

SAML 常用場景是用來作為單點登錄的。如：用戶在瀏覽器登錄公司帳號後，可直接跳轉到騰訊雲，不再需要輸入騰訊雲帳號密碼。即，SAML 為安全跳轉登錄提供了可能。

三：目標效果

用戶在網站 https://authing.cn（或者其它提供 IdP 身份認證的網站）登錄後，訪問設置好的登錄連結 https://cloud.tencent.com/login/forwardIdp/{UIN}/{IDP-Provider-name}，可以直接跳轉到騰訊雲控制臺：

四：為什麼這麼幹    直接暴露自己的用戶名密碼給第三方集成做單點登錄是不安全也不現實的。在騰訊雲的場景下，無法解決帳號洩露亂買東西誰背鍋的問題。有了公認的認證方法，帳號是誰洩露的一目了然。當然，SAML 本身出現了問題，概率較小，暫不討論。五：SAML相關角色和登錄流程IdP（Identify Provider）：身份提供商，上例中指的是 AuthingSP（Service Provider）：服務提供商，這裡指騰訊雲一句話解釋流程：用戶登錄本地帳號後，訪問騰訊雲資源，重定向到身份提供商處驗證身份，驗證成功後登錄騰訊雲。具體流程如下：

 

六：示例 -IdP 配置步驟去 Authing 註冊一個帳號，登錄後到控制臺中第三方登錄中創建 IdP

UIN 後面是自己要登錄的騰訊雲的 UIN，rolename 之後在騰訊雲側根據身份提供商創建的角色，saml-provider 之後是在騰訊雲上創建身份提供商的名字

{    "https://cloud.tencent.com/SAML/Attributes/Role": "qcs::cam::uin/100008888888:roleName/jokeer,qcs::cam::uin/100008888888:saml-provider/Authing",    "https://cloud.tencent.com/SAML/Attributes/RoleSessionName": "Test"}



七：示例-騰訊雲配置步驟

上傳上一步中生成的 xml 文檔，身份提供商名字和代碼處配置一致，審閱並完成配置






八：示例-驗證是否能夠跳轉成功根據身份提供商處給的 URL，或者 Authing 最後給的 URL，看是否能夠跳轉登錄成功。

九：寫在最後AD Windows、ldap 均支持 SAML 2.0，理論上可以解決 AD、ldap 用戶與騰訊雲之間的單點登錄問題，同時，業界還有很多其他廠商可以做 SAML 聯合身份認證，如：Salesforce、Azure、Onelogin 等。
註：本文系轉載文章，版權歸原作者文達所有。點擊「閱讀原文」，即可訪問原文連結。
Authing 是國內首款全場景身份雲產品，集成了所有主流身份認證協議，為企業和開發者提供完善安全的用戶認證和訪問管理服務。Authing 被中國信息通信研究院評選為「國內身份管理與訪問控制領域創新企業」，並被錄入《2019 網絡安全產業白皮書》。Authing 已為中國石油、亞馬遜雲服務、埃森哲、德高集團、東南大學、高等教育出版社等國內外優秀企業打造了卓越的開發方式、高效的辦公流程和安全的 IT 管理體系。
推薦閱讀