基于SAML 2.0对接阿里云的SSO(单点登录)

编程语言:PHP8.2
编程框架:Laravel 9.1
运行环境:Linux + Nginx

问题:基于SAML 2.0对接阿里云的SSO(单点登录)

有开发过该功能的朋友可以帮忙看下 或者 提供可运行的Demo,解决问题酬劳200元。

需求:公司使用的阿里云作为公有云,每次员工入职或离职时同时需要维护两套账号(一套内部账号,一套阿里云RAM账号),为了让用户能够使用内部账号能访问阿里云,所以决定对接阿里云的SSO。

主流程介绍
1、用户访问阿里云
2、阿里云调转至公司内部的SSO(单点登录)
3、公司内部SSO让用户进行登录
4、认证成功后跳转至阿里云

阿里云SSO:https://help.aliyun.com/document_detail/93684.html

找到一篇用go语言实现的该功能的文章,地址:https://blog.csdn.net/qq_16077549/article/details/122679860?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522167395143716782425192167%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=167395143716782425192167&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-9-122679860-null-null.blog_rank_default&utm_term=%E9%98%BF%E9%87%8C%E4%BA%91%20SSO%20&spm=1018.2226.3001.4450

我无法为该解决方案提供工作代码,因为它是一项复杂而具体的任务,需要深入了解您的特定设置和要求。 但是,我可以为您提供一些一般性指导。

您可以使用 SimpleSAMLphp 库在 Laravel 应用程序中实施 SAML 2.0 SSO。 SimpleSAMLphp 是一个免费的开源库,它提供了一种实现 SSO 的简单方法。 它与 PHP 8.2 兼容,可以轻松与 Laravel 应用程序集成。

以下是您可以遵循的步骤的高级概述:

在您的服务器上安装 SimpleSAMLphp。

使用您的 IdP(身份提供者)和 SP(服务提供者)元数据配置 SimpleSAMLphp 库。

在您的 Laravel 应用程序中,创建一个可以与 SimpleSAMLphp 库交互的 SAML 服务提供者。 该服务提供商应处理 SAML 身份验证过程,并允许您使用 SAML 对应用程序中的用户进行身份验证。

一旦您拥有 SAML 服务提供商,您就可以在您的应用程序中使用它来验证用户和管理 SSO 过程。

最后,您可以实现公司内部SSO和阿里云之间的用户转移逻辑。

我建议参考您提到的 SimpleSAMLphp 文档和 AliCloud SSO 文章,以获取有关如何设置和配置库的更多信息。

首先需要在阿里云控制台中配置SAML 2.0的身份提供者,然后再按照阿里云提供的文档进行设置。

具体实现步骤如下:

1.在阿里云控制台中创建SAML 2.0身份提供者,并且配置好公钥证书等信息。
2.在公司内部SSO系统中实现SAML 2.0身份提供者功能,提供SAML认证请求、SAML认证响应等接口。
3.在阿里云控制台中配置规则,实现用户在阿里云的登录。
4.在公司内部SSO系统中实现用户的登录,认证成功后返回SAML认证响应,跳转至阿里云。
5.为了保证安全性,建议使用HTTPS协议进行通信。

关于如何在PHP 8.2 + Laravel 9.1框架中实现SAML 2.0身份提供者,可以参考第三方库或者组件,如OneLogin SAML PHP Toolkit、simplesamlphp等,这些库或组件已经帮助很多开发者实现了SAML 2.0的对接。

如果需要代码级别的帮助,可以考虑向专业的开发团队请教。

实现流程
//用户访问
app.get('/', (req, res) => {
  // 跳转至公司内部的SSO
  res.redirect('/sso');
});
//登录
app.post('/sso', (req, res) => {
  let username = req.body.username;
  let password = req.body.password;
  // 验证用户名和密码
  if (username === 'username' && password === 'password') {
    // 认证成功,跳转至阿里云
    res.redirect('https://www.aliyun.com/');
  } else {
    // 认证失败,返回错误信息
    res.status(403).send({
      message: 'Username and password are incorrect.'
    });
  }
});

实现
// 用户访问阿里云
window.location.href = 'https://www.aliyun.com';

// 阿里云调转至公司内部的SSO (单点登录)
window.location.href = 'https://sso.company.com';

// 公司内部SSO让用户进行登录
function login(){
// 登录操作
}

// 认证成功后跳转至阿里云
if(login()){
window.location.href = 'https://www.aliyun.com';
}

SAML 2.0是一种用于实现身份验证和授权的标准,可以实现在不同系统之间的单点登录(SSO)。

阿里云支持SAML 2.0协议,可以通过设置SAML 2.0服务器来实现SSO功能。步骤如下:

  1. 配置SAML 2.0服务器:首先,需要配置SAML 2.0服务器,包括设置服务器地址、认证方式、认证凭据等。

  2. 配置阿里云SSO:然后,需要在阿里云控制台中配置SSO,包括设置SAML 2.0服务器地址、认证方式、认证凭据等。

  3. 配置应用程序:最后,需要在应用程序中配置SSO,包括设置SAML 2.0服务器地址、认证方式、认证凭据等。

完成以上三步后,就可以实现基于SAML 2.0的SSO功能,实现在不同系统之间的单点登录。

可以提供demo