云SSO单点登录概述

云SSO支持基于SAML 2.0的单点登录。天翼云是服务提供商（SP），而企业自有的身份管理系统则是身份提供商（IdP）。通过SSO登录，企业员工可以使用IdP中的用户身份直接登录云SSO。

操作步骤

天翼云配置

天翼云配置企业IdP的操作如下：

1. 登录云SSO控制台。

2. 在左侧导航栏，选择“管理设置”。

3. 选择身份源-身份提供商，点击“应用”。

4. 点击“身份提供商”选项右侧的“管理身份提供商”。

5. 点击右上角“创建身份提供商”。

6. 名称：配置当前身份提供商名称。

7. 元数据文档：上传企业IdP提供的元数据文件。

   元数据文件由企业IdP提供，目前支持上传XML格式的文件，元数据文件需要包含以下信息。

<?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor entityID="saml-idp" validUntil="2025-02-26T06:42:53.018Z" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata">
    <md:IDPSSODescriptor WantAuthnRequestsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <md:KeyDescriptor use="signing">
            <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:X509Data>
                    <ds:X509Certificate>
MIID+zCCAuOgAwIBAgIBEjANBgkqhkiG9w0BAQsFADCBiDELMAkGA1UEBhMCSVQxETAPBgNV
                    </ds:X509Certificate>
                </ds:X509Data>
            </ds:KeyInfo>
        </md:KeyDescriptor>
        <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:attrname-format:basic</md:NameIDFormat>
        <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idpSsoUrl.com/SAML2/SSO"/>
        <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idpSsoUrl.com/SAML2/SSO"/>
    </md:IDPSSODescriptor>
</md:EntityDescriptor>

8. 单击确定。

企业IdP配置

企业IdP的配置如下：

1. 登录云SSO控制台。

2. 在左侧导航栏，选择“管理设置”。

3. 点击“身份提供商”选项右侧的“管理身份提供商”。

4. 在提示信息“在企业方配置时，请使用天翼云 SAML 服务提供商元数据”右侧，选择“点击查看”，保存打开的XML为天翼云云SSO元数据文件

5. 在企业IdP中新建一个SAML SP，选择步骤3获取的URL或元数据文件进行配置。

6. 在企业IdP中配置SAML响应。

在完成天翼云和企业IdP的配置后，企业IdP用户可以通过IdP完成到天翼云的登录。