【V3】JumpServer 对接阿里云 IDaaS 实现单点登录


飞致云 发布于 2023-05-11 / 1070 阅读 / 0 评论 /
本文主要介绍 JumpServer 使用 SAML2 协议对接阿里云应用身份服务(IDaaS),使用户便捷登录 JumpServer 堡垒机。

阿里云应用身份服务(IDaaS)是一个集中式身份管理服务,可以作为企业内部应用访问的统一门户。企业可以通过对接 IDaaS 实现应用的单点登录以及账号同步。本文主要介绍 JumpServer 使用 SAML2 协议对接阿里云应用身份服务(IDaaS),使用户便捷登录 JumpServer 堡垒机。

前提

因 IDaaS 需要配置跳转地址,所以需要提前配置 JumpServer 的访问地址,即:系统设置→基本设置→当前站点 URL。

当前站点 URL 用于链接跳转,例如:邮件中发送的改密地址,对接的调整地址等。

IDaaS 侧配置

  1. 进入控制台

    进入阿里云控制台,选择进入 IDaaS 服务控制台。

  2. 创建应用

    在 IDaaS 控制台中,创建应用。操作按钮顺序:应用→标准协议→SAML 2.0→添加应用。

    提示:IDaaS 中的应用市场中集成了常见企业软件应用模板,可以一键添加。但由于应用市场中有关于 JumpServer 的应用模板对应的 JumpServer 版本并未跟随 JumpServer 版本迭代更换,模板中配置的接口信息与用户版本可能不一致,最终可能导致无法获取 IDaaS 中的用户信息。

  3. 配置 SSO 授权

    创建应用后,选择配置对应的应用,如下图所示:

    选择"授权范围"为“全员可访问”,“默认跳转地址”为“堡垒机访问地址”,在断言属性中配置 JumpServer 需要的字段,JumpServer 需要的字段如下:用户、用户名、邮箱。

  4. 应用创建完成。

JumpServer 侧配置

  1. 进入配置页面

    在 JumpServer 首页选择进入系统设置页面,选择认证设置模块并配置 SAML2 对接,JumpServer 侧对接 SAML 2.0 协议的操作页面如下:

  2. 获取参数

  • SP 密钥

    SP 证书和密钥用来和 IDP 进行加密通信的,可以通过 SSL 工具生成公钥和私钥。SSL 工具示例链接如下:  https://www.samltool.com/self_signed_certs.php?spm=a2c4g.409903.0.0.357af407U1xHSJ

    将生成的私钥信息保存为 pem 文件,将公钥保存为 cer 文件,上传至 JumpServer 中。SP 密钥上传私钥文件,SP 证书上传公钥文件。

  • IDP metadata URL

    查看应用配置信息,复制 IDP 元数据,示例如下:

  • 用户属性映射

    IDaaS 中的用户 User 模型中可获取的字段如下图:

    按照属性映射,完成 JumpServer 的各项配置,如下:

  • 配置成功。



是否对你有帮助?