免密登录Azure平台

以Azure为例介绍如何使用 Cloudpods 平台免密登录到Azure平台。

下面举例介绍如何从Cloudpods平台免密登录Azure平台。目前仅Azure全球区支持免密登录。

开启免密登录

  1. 在Cloudpods平台上添加Azure云账号配置参数时,账号类型选择“全球区”,并勾选“开启免密登录”。

  2. 云账号创建成功后,获取云账号的ID。

  3. 在浏览器中输入“https://<域名>/api/saml/idp/metadata/<账号ID>”,将显示的XML文件内容保存。例如:“https://saml.test.cn/api/saml/idp/metadata/7c6c10d5-953a-444c-8685-d0b8f53984b2”,并保存该文件。

Azure配置External Identies

  1. Azure控制台,搜索“external identies”并进入该页面。

  2. 单击左侧菜单项“All identity providers”,进入“All identity providers”页面.

  3. 单击“New SAML/WS-Fed Idp”,在弹出的对话框中配置以下参数。

    • Identity provider protocol:选择SAML。
    • Domain name of federating IdP:设置为平台的域名,例如saml.test.cn。
    • Select a method for populating metadata:建议选择“Parse metadata file”,并上传上面步骤保存的xml文件,并单击“Parse”,自动填充下面参数。如选择“Input metadata manually”,需要安装上面的截图对应项,分别填入,注意,直接复制的Certificate项有空格,需要将空格完全删除。

  4. 除此之外,还需要为Azure的应用程序添加用户权限,Azure应用程序具体可参考获取Tenant ID、Client ID和Client Secret

  5. 在应用程序详情页面,单击“API permission”,进入API permission页面,确保应用程序有Microsoft Graph下的“User.Invite.ALL”和“User.ReadWrite.All”的权限,若没有该权限,需要单击“add a permission”,添加对应权限。

设置Chrome浏览器

当在Cloudpods平台免密登录Azure平台时,在登录Azure过程中需要携带Cookie回调Cloudpods平台,Chrome浏览器默认不允许跨网站携带Cookie,所以需要进行以下配置:

  1. 在Chrome浏览器地址栏输入“chrome://flags/”,并搜索“SameSite by default cookies”。

  2. 禁用“SameSite by default cookies”和“Cookies without SameSite must be secure”。

  3. 重启浏览器使配置生效。

添加免密登录用户

  1. 在Cloudpods平台上的 “云账号列表-Azure账号-详情-免密登录用户” 页面,添加平台上的用户作为免密登录用户。

  2. 单击 “新建” 按钮,在弹出的新建对话框中选择平台上的用户以及对应的云用户组,单击 “确定” 按钮。

  3. 免密登录用户可以在右上角 “用户信息-多云统一登录-免密登录” 页面,单击**_“免密登录”_** 按钮。

  4. 在弹出的提示信息对话框中,单击 “复制且登录” 按钮,跳转到Azure平台,输入复制的账户,免密登录Azure平台。


最后修改 01.01.0001