阿里云应用身份服务(IDaaS)是一个集中式身份管理服务,可以作为企业内部应用访问的统一门户。企业可以通过对接 IDaaS 实现应用的单点登录以及账号同步。本文主要介绍 JumpServer 使用 SAML2 协议对接阿里云应用身份服务(IDaaS),使用户便捷登录 JumpServer 堡垒机。
前提
因 IDaaS 需要配置跳转地址,所以需要提前配置 JumpServer 的访问地址,即:系统设置→基本设置→当前站点 URL。
当前站点 URL 用于链接跳转,例如:邮件中发送的改密地址,对接的调整地址等。
IDaaS 侧配置
进入控制台
进入阿里云控制台,选择进入 IDaaS 服务控制台。
创建应用
在 IDaaS 控制台中,创建应用。操作按钮顺序:应用→标准协议→SAML 2.0→添加应用。
提示:IDaaS 中的应用市场中集成了常见企业软件应用模板,可以一键添加。但由于应用市场中有关于 JumpServer 的应用模板对应的 JumpServer 版本并未跟随 JumpServer 版本迭代更换,模板中配置的接口信息与用户版本可能不一致,最终可能导致无法获取 IDaaS 中的用户信息。配置 SSO 授权
创建应用后,选择配置对应的应用,如下图所示:
选择"授权范围"为“全员可访问”,“默认跳转地址”为“堡垒机访问地址”,在断言属性中配置 JumpServer 需要的字段,JumpServer 需要的字段如下:用户、用户名、邮箱。应用创建完成。
JumpServer 侧配置
进入配置页面
在 JumpServer 首页选择进入系统设置页面,选择认证设置模块并配置 SAML2 对接,JumpServer 侧对接 SAML 2.0 协议的操作页面如下:
获取参数
SP 密钥
SP 证书和密钥用来和 IDP 进行加密通信的,可以通过 SSL 工具生成公钥和私钥。SSL 工具示例链接如下: https://www.samltool.com/self_signed_certs.php?spm=a2c4g.409903.0.0.357af407U1xHSJ
将生成的私钥信息保存为 pem 文件,将公钥保存为 cer 文件,上传至 JumpServer 中。SP 密钥上传私钥文件,SP 证书上传公钥文件。
IDP metadata URL
查看应用配置信息,复制 IDP 元数据,示例如下:
用户属性映射
IDaaS 中的用户 User 模型中可获取的字段如下图:
按照属性映射,完成 JumpServer 的各项配置,如下:
配置成功。