本文为您提供 Okta 与身份中心进行单点登录(SSO 登录)的示例。
准备工作
配置 SSO 登录前,您需要完成用户创建:从 Okta 同步用户到身份中心,或者在身份中心创建同名用户。
从 Okta 同步用户到身份中心:适用于 Okta 中拥有大量用户的情况。具体操作,请参见 通过 SCIM 同步 Okta 示例。
在身份中心创建同名用户:适用于 Okta 中仅有少量用户的情况,可用于快速验证。创建时,身份中心的用户名需要和 Okta 的用户名保持一致。
在身份中心配置
步骤一:开启 SSO 登录
1. 登录集团账号管理 > 身份中心。
2. 在左侧导航栏,单击用户管理 > 设置。
3. 在 SSO登录 区域,单击
步骤二:复制服务提供商(SP)信息
在服务提供商(SP)信息区域,查看并复制 ACS URL、Entity ID,直接用于外部 IdP 的手动配置。
在 Okta 配置
步骤一:在 Okta 中创建应用程序
1. 登录 Okta,在左侧导航栏中,选择 Applications > Applications 后,进入全部应用,单击 Create APP Intergration,创建应用程序。
2. 在弹出的 Create a new app integration 窗口中,选择 SAML 2.0,单击 Next。
3. 进入 Create SAML Integration 页面,完成应用基础配置。
3.1 在 General Settings 页面,填写 App name,单击 Next。
3.2 在 Configure SAML 页面,填写 Single sign-on URL 和 Audience URL(SP Entity ID)。
3.3 在 Feedback 页面,勾选 Contact app vendor,单击 Finish,完成应用创建。
步骤二:在 Okta 中设置单一登录
1. 下载联合元数据 XML。
1.1 在左侧导航栏,选择 Applications > Applications 后,进入全部应用,选中目标应用。
1.2 进入应用详情页,单击 Sign On。
1.3 在 Sign On 页面,单击右下角 View SAML setup instructions 查看身份提供商元数据,并保存至本地。
2. 向应用程序分配用户。
2.1 在 Assignments 页面,单击 Assign,选择 Assign to People,将用户分配到应用。
2.2 在 Assign okta_test to People 弹窗中,选择目标用户,单击 Assign。在新窗口单击 Save and Go Back,启动分配。
2.3 分配成功的用户展示在 People 页面。
步骤三:在身份中心上传联合元数据 XML
1. 在集团账号管理 > 身份中心管理 > 设置 > SSO 登录的身份提供商(IDP)信息区域,单击配置身份提供商信息。
2. 单击选择文件,上传在 Okta下载的联合元数据 XML。
结果验证
完成 SSO 登录配置后,您可以从腾讯云发起 SSO 登录。
登录流程:
1. 身份中心管理员进入集团账号管理 > 身份中心管理 > 身份中心概览 的页面的右侧,查看并复制用户登录 URL。
2. 单击访问用户登录 URL,单击登录。
3. 重定向到 Okta 登录页面,输入账号密码登录。
4. 登录成功,进入身份中心账号列表页。
