活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
热门活动
  • 天翼云新春焕新季 NEW 云主机开年特惠28.8元/年,0元秒杀等你来抢!
  • 驭马迎春·福礼抢先领 5.5折无门槛折扣券+开箱即用方案双加持,节后上云快人一步!
  • 云上钜惠 爆款云主机全场特惠,2核4G只要1.8折起!
  • 中小企业服务商合作专区 国家云助力中小企业腾飞,高额上云补贴重磅上线
  • 出海产品促销专区 NEW 爆款云主机低至2折,高性价比,不限新老速来抢购!
  • 天翼云奖励推广计划 加入成为云推官,推荐新用户注册下单得现金奖励
免费活动
  • 免费试用中心 HOT 多款云产品免费试用,快来开启云上之旅
  • 天翼云用户体验官 NEW 您的洞察,重塑科技边界

息壤智算

领先开放的智算服务平台,提供算力、平台、数据、模型、应用“五位一体”智算服务体系,构建全流程的AI基础设施能力
AI Store
  • 算力市场
  • 模型市场
  • 应用市场
  • MCP市场
算力互联调度平台
  • 裸金属
  • 定制裸金属
训推服务
  • 模型开发
  • 训练任务
  • 服务部署
模型推理服务
  • 模型广场
  • 体验中心
  • 服务接入
应用托管
  • 应用实例
科研助手
  • 科研智能体
  • 科研服务
  • 开发机
  • 并行计算
大模型
  • DeepSeek-V3.1
  • DeepSeek-R1-0528
  • DeepSeek-V3-0324
  • Qwen3-235B-A22B
  • Qwen3-32B
智算一体机
  • 智算一体机
模型适配专家服务
  • 模型适配专家服务
算力服务商
  • 入驻算力服务商

应用商城

天翼云精选行业优秀合作伙伴及千余款商品,提供一站式云上应用服务
进入甄选商城进入云市场进入AI Store创新解决方案公有云生态专区智云上海应用生态专区
建站工具
  • 新域名服务
  • SSL证书
  • 翼建站
企业办公
  • 安全邮箱
  • WPS 365 天翼云版
  • 天翼企业云盘(标准服务版)
灾备迁移
  • 云管家2.0
  • 翼备份(SaaS版)

定价

协助您快速了解云产品计费模式、价格详情,轻松预估上云成本
价格计算器
  • 动态测算产品价格
定价策略
  • 快速了解计费模式

合作伙伴

天翼云携手合作伙伴,共创云上生态,合作共赢
天翼云生态合作中心
  • 天翼云生态合作中心
天翼云渠道合作伙伴
  • 天翼云代理渠道合作伙伴
天翼云服务合作伙伴
  • 天翼云集成商交付能力认证
天翼云应用合作伙伴
  • 天翼云云市场合作伙伴
  • 天翼云甄选商城合作伙伴
天翼云技术合作伙伴
  • 天翼云OpenAPI中心
天翼云培训认证
  • 天翼云学堂
  • 天翼云市场商学院
天翼云合作计划
  • 云汇计划
天翼信创云专区
  • 信创云专区
  • 适配互认证

开发者

开发者相关功能入口汇聚
技术社区
  • 专栏文章
  • 互动问答
  • 技术视频
资源与工具
  • OpenAPI中心
培训与认证
  • 天翼云学堂
  • 天翼云认证
开源社区
  • 魔乐社区
  • OpenTeleDB

支持与服务

为您提供全方位支持与服务,全流程技术保障,助您轻松上云,安全无忧
文档与工具
  • 文档中心
  • 新手上云
  • 自助服务
  • OpenAPI中心
定价
  • 价格计算器
  • 定价策略
基础服务
  • 售前咨询
  • 在线支持
  • 在线支持
  • 工单服务
  • 服务保障
  • 会员中心
增值服务
  • 红心服务
  • 首保服务
  • 客户支持计划
  • 专家技术服务
  • 备案管家
我要反馈
  • 建议与反馈
  • 用户体验官
信息公告
  • 客户公告

了解天翼云

天翼云秉承央企使命,致力于成为数字经济主力军,投身科技强国伟大事业,为用户提供安全、普惠云服务
品牌介绍
  • 关于天翼云
  • 智算云
  • 天翼云4.0
  • 新闻资讯
  • 天翼云APP
基础设施
  • 全球基础设施
  • 信任中心
最佳实践
  • 精选案例
  • 超级探访
  • 云杂志
  • 分析师和白皮书
  • 天翼云·创新直播间
市场活动
  • 2025智能云生态大会
  • 2024智算云生态大会
  • 2023云生态大会
  • 2022云生态大会
  • 天翼云中国行
天翼云
  • 活动
  • 息壤智算
  • 产品
  • 解决方案
  • 应用商城
  • 定价
  • 合作伙伴
  • 开发者
  • 支持与服务
  • 了解天翼云
      • 文档
      • 控制中心
      • 备案
      • 管理中心
      文档中心

      云SSO

      云SSO

      • 云SSO

      无数据

        • 产品动态
        • 产品动态
        • 产品介绍
        • 产品定义
        • 基本概念
        • 使用场景
        • 计费说明
        • 计费说明
        • 快速入门
        • 开通云SSO
        • 用户指南
        • 管理用户
        • 管理用户组
        • 管理权限集配置
        • 管理访问配置实例
        • 云SSO用户登录访问
        • 外部身份同步及单点登录配置
        • 云SSO单点登录概述
        • 单点登录的SAML响应说明
        • SCIM用户及组同步方式
        • 管理SCIM密钥
        • 云SSO支持的SCIM_2.0接口
        • 通过SCIM同步用户或用户组的示例
        • 最佳实践
        • 统一登录访问管理
        • 客户系统单点登录访问
        • 常见问题
        • 常见问题
        • 文档下载
        • 使用协议
        • 使用协议
          无相关产品

          本页目录

          帮助中心云SSO用户指南外部身份同步及单点登录配置单点登录的SAML响应说明
          单点登录的SAML响应说明
          更新时间 2025-12-30 18:06:21
          • 新浪微博
          • 微信
            扫码分享
          • 复制链接
          最近更新时间: 2025-12-30 18:06:21
          分享文章
          • 新浪微博
          • 微信
            扫码分享
          • 复制链接
          本文介绍单点登录的SAML响应说明

          单点登录的SAML响应说明

          • 本文为您介绍进行单点登录(SSO登录)时SAML响应中必须包含的元素,尤其是SAML断言中的元素。

          • 合作方(IdP)判断用户的登录状态,若用户未登录,引导用户进行登录操作,登录之后合作方按SAML协议格式组织SAMLResponse返回报文,POST请求。

          请求地址示例:https://www.ctyun.cn/sso/api/saml/acs
          参数说明必填示例
          SAMLResponseACS报文,base64编码,
          该报文强制使用断言签名,使用合作方私钥进行签名,天翼云将根据合作方的X509证书进行验证签名
          如果需要断言属性加密,请使用天翼云x509证书进行加密
          是 
          • SAMLResponse请求重定向到天翼云的地址为天翼云与合作伙伴约定的地址,亦可解析SAMLRequest请求报文后在报文AssertionConsumerServiceURL属性中获取天翼云接收请求地址,需要返回的SAMLResponse报文较为复杂,建议使用相应的类库进行生成

          • SAMLResponse报文中saml2:Issuer相关的属性值必须与合作方提供给天翼云的IDP Metadata.xml中的entityID相对应。

          • SAMLResponse报文中的公钥请与提供给天翼云的公钥一致

          • SAMLResponse报文中必须必须有报文签名ds:Signature

          • SAMLResponse报文中saml2:SubjectLocality的值必须服务提供商提供的SP Metadata的entityID一致。

          • SAMLResponse报文中saml2:Subject中,必须有一个saml2:NameID,可配置为unspecified,可配置为动态的ctyunUserId,示例如下:

          <saml2:Subject xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
            <saml2:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:emailAddress" NameQualifier="https://www.ctyun.cn/sso/api/saml/1b8575039d02405fb0c54b923fc4c06c" SPNameQualifier="https://www.ctyun.cn/sso/api/saml/1b8575039d02405fb0c54b923fc4c06c">
                test@qq.com
            </saml2:NameID>
            <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
              <saml2:SubjectConfirmationData NotOnOrAfter="2025-10-10T22:37:52.930Z" Recipient="https://www.ctyun.cn/sso/api/saml/acs"/>
            </saml2:SubjectConfirmation>
          </saml2:Subject>
          • 合作方需要在SAMLResponse报文saml2:AttributeValue节点中需要提供给天翼云的属性

          参数说明必传
          email邮箱,在云SSO用户查看是
          accountId用户在身份提供商的唯一用户id标识,身份提供商根据自身配置情况传递,例如传递用户在IDP侧的ID是
          nickName用户昵称,身份提供商根据自身配置情况传递是

          SAMLResponse xml示例(SAMLResponse解析后):

          <saml2p:Response xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" Destination="https://www.ctyun.cn/sso/api/saml/acs" ID="_17600926729300" IssueInstant="2025-10-10T10:35:52.930Z" Version="2.0">
            <saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">saml-idp</saml2:Issuer>
            <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
              <ds:SignedInfo>
                <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
                <ds:Reference URI="#_17600926729300">
                  <ds:Transforms>
                    <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
                    <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                  </ds:Transforms>
                  <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
                  <ds:DigestValue>wwDGhJ6EBaAzNi07U3j0YRO9P+A=</ds:DigestValue>
                </ds:Reference>
              </ds:SignedInfo>
              <ds:SignatureValue>D1An0IhWwIMsnsXSNXKRDaWpkp</ds:SignatureValue>
              <ds:KeyInfo>
                <ds:X509Data>
                  <ds:X509Certificate>MIID+zCCAuOgAwIBAgIBEjANBgkqhkiG9w0BAQ</ds:X509Certificate>
                </ds:X509Data>
              </ds:KeyInfo>
            </ds:Signature>
            <saml2p:Status xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol">
              <saml2p:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
            </saml2p:Status>
            <saml2:Assertion xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="_17600926729301" IssueInstant="2025-10-10T10:35:52.930Z" Version="2.0">
              <saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">saml-idp</saml2:Issuer>
              <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:SignedInfo>
                  <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                  <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
                  <ds:Reference URI="#_17600926729301">
                    <ds:Transforms>
                      <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
                      <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                    </ds:Transforms>
                    <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
                    <ds:DigestValue>yix4f787Vo2hEveX/hPHMSTexfI=</ds:DigestValue>
                  </ds:Reference>
                </ds:SignedInfo>
                <ds:SignatureValue>gK6+gV/R9EMFxgellvRxeMaq94</ds:SignatureValue>
                <ds:KeyInfo>
                  <ds:X509Data>
                    <ds:X509Certificate>MIID+zCCAuOgAwIBAgIBEjANBgkqhkiG9w0BAQsFAD</ds:X509Certificate>
                  </ds:X509Data>
                </ds:KeyInfo>
              </ds:Signature>
              <saml2:Subject xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
                <saml2:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:emailAddress" NameQualifier="https://www.ctyun.cn/sso/api/saml/1b8575039d02405fb0c54b923fc4c06c" SPNameQualifier="https://www.ctyun.cn/sso/api/saml/1b8575039d02405fb0c54b923fc4c06c">test@qq.com</saml2:NameID>
                <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
                  <saml2:SubjectConfirmationData NotOnOrAfter="2025-10-10T22:37:52.930Z" Recipient="https://www.ctyun.cn/sso/api/saml/acs"/>
                </saml2:SubjectConfirmation>
              </saml2:Subject>
              <saml2:Conditions NotBefore="2025-10-10T10:35:52.930Z" NotOnOrAfter="2025-10-10T22:37:52.930Z" xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
                <saml2:AudienceRestriction><saml2:Audience>https://www.ctyun.cn/sso/api/saml/1b8575039d02405fb0c54b923fc4c06c</saml2:Audience>
                </saml2:AudienceRestriction>
              </saml2:Conditions>
              <saml2:AuthnStatement AuthnInstant="2025-10-10T10:35:52.930Z" SessionIndex="_1760092672930" xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
                <saml2:SubjectLocality Address="https://www.ctyun.cn/sso/api/saml/1b8575039d02405fb0c54b923fc4c06c"/>
                <saml2:AuthnContext>
           <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml2:AuthnContextClassRef>
                </saml2:AuthnContext>
              </saml2:AuthnStatement>
              <saml2:AttributeStatement xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
                <saml2:Attribute Name="accountId" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                  <saml2:AttributeValue>1131432</saml2:AttributeValue>
                </saml2:Attribute>
                <saml2:Attribute Name="nickName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                  <saml2:AttributeValue>nickName</saml2:AttributeValue>
                </saml2:Attribute>
                <saml2:Attribute Name="email" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                  <saml2:AttributeValue>test@qq.com</saml2:AttributeValue>
                </saml2:Attribute>
              </saml2:AttributeStatement>
            </saml2:Assertion>
          </saml2p:Response>

          立即表单提交页面示例:

          <!DOCTYPE html>
          <html>
              <head>
                  <meta charset="utf-8"/>
              </head>
              <body onload="document.forms[0].submit()">
                  <noscript>
                      <p>
                          <strong>Note:</strong>
                          Since your browser does not support JavaScript,
                          you must press the Continue button once to proceed.
                      </p>
                  </noscript>
                  <form action="https&#x3a;&#x2f;&#x2f;www.ctyun.cn&#x2f;federation&#x2f;saml&#x2f;acs" method="post">
                      <div>
                          <input type="hidden" name="SAMLResponse" value="PD94bWwgdmVyc2lv"/>
                          <input type="hidden" name="RelayState" value="https://www.ctyun.cn"/>
                      </div>
                      <noscript>
                          <div>
                              <input type="submit" value="Continue"/>
                          </div>
                      </noscript>
                  </form>
              </body>
          </html>

          X509证书生成,参考使用openSSL生成

          1、openssl genrsa -out server.key 2056
          2、openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=mykey/L=mykey/O=mykey/OU=mykey/CN=domain1/CN=domain2/CN=domain3"
          文档反馈

          建议您登录后反馈,可在建议与反馈里查看问题处理进度

          鼠标选中文档,精准反馈问题

          选中存在疑惑的内容,即可快速反馈问题,我们会跟进处理

          知道了

          上一篇 :  云SSO单点登录概述
          下一篇 :  SCIM用户及组同步方式
          搜索 关闭
          ©2026 天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
          公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
          备案 京公网安备11010802043424号 京ICP备 2021034386号
          ©2026天翼云科技有限公司版权所有
          京ICP备 2021034386号
          备案 京公网安备11010802043424号
          增值电信业务经营许可证A2.B1.B2-20090001
          用户协议 隐私政策 法律声明