步骤1：创建身份提供商_统一身份认证服务 IAM_用户指南_身份提供

前提条件

企业管理员在华为云上注册了可用的帐号，并已在IAM中创建用户组并授权，具体方法请参见：创建用户组并授权。

在华为云IAM上创建的用户组是用于与IdP上的用户建立映射关系，使得IdP中的用户获取华为云IAM中用户组的权限。

建立IdP对华为云的信任关系

在IdP中配置华为云的元数据文件，以建立IdP对华为云的信任。常用企业IdP，如Microsoft Active Directory（AD FS）和Shibboleth的配置步骤，请参见：与华为云集成第三方IdP解决方案提供商示例。

1. 下载华为云系统的元数据文件（metadata文件）。

   访问网址：https://auth.huaweicloud.com/authui/saml/metadata.xml。下载华为云元数据文件，并设置文件名称，例如“SP-metadata.xml”。

2. 将上述文件上传到企业IdP服务器上，上传方法请参见IdP提供商的帮助文档。
3. 获取企业IdP的元数据文件。获取方法请参见IdP提供商的帮助文档。

在华为云上创建身份提供商

在IAM控制台中创建身份提供商，配置身份提供商的元数据文件后，可以在IAM中建立对IdP的信任关系，使得企业用户可以直接访问华为云。

1. 进入IAM控制台，在左侧导航窗格中，选择“身份提供商”页签，单击右上方的“创建身份提供商”。
   图1 进入IAM控制台
   
   图2 创建身份提供商
   

2. 在“创建身份提供商”窗口中设置名称、协议、状态、描述。
   图3 填写身份提供商参数
   
   

   身份提供商名称不能重复，建议以域名唯一标识命名。

3. 单击“确定”，创建身份提供商成功。

在华为云上配置元数据文件

配置元数据文件，即把企业IdP的Metadata文件配置到华为云。IAM支持“上传文件”和“手动编辑”两种配置，选择其中一种即可。如果元数据文件超过500KB，请通过“手动编辑”配置元数据。如果后续元数据有更新，需要用户重新上传或者编辑元数据，否则会影响联邦用户登录华为云。

企业IdP的Metadata文件获取方法请参考企业IdP提供商的帮助文档

• 单击“确定”，保存设置信息。

联邦用户登录验证

1. 检查登录链接是否可以跳转到企业的IdP服务器提供的登录界面。
   1. 在IAM控制台的“身份提供商”页面，单击“操作”列的“查看”（如图8所示），进入“身份提供商基本信息”页面；单击“登录链接”右侧的“复制”，如图9所示，并在浏览器中打开。
      图8 查看身份提供商
      
      图9 复制登录链接
      
   2. 检查浏览器页面是否跳转到IdP登录界面，如果跳转失败，请确认获取的企业元数据文件以及企业IdP服务器配置是否正确。

2. 输入企业系统的用户名和密码验证是否可以登录到华为云。
   • 登录成功：表示单点登录验证成功，您可以将该地址以链接的形式配置到企业网站。
   • 登录失败：请检查您的用户名和密码。
   

   此时联邦用户只能访问华为云，没有任何权限。为联邦用户配置权限需要配置身份转换规则，具体说明请参见：步骤2：配置身份转换规则。

相关操作

• 查看身份提供商信息：在身份提供商列表中，单击“查看”，可查看身份提供商的基本信息、元数据详情、身份转换规则。
  

  单击“查看身份提供商”页面下方的“修改身份提供商”，可直接进入“修改身份提供商”界面。

• 修改身份提供商信息：在身份提供商列表中，单击“修改”进入“修改身份提供商”界面。可修改身份提供商的状态（“启用”或“停用”）、描述信息、元数据信息和身份转换规则。
• 删除身份提供商：在身份提供商列表中，单击“删除”，删除对应的身份提供商。

后续任务

• 在“身份转换规则”区域，配置身份转换规则，建立IdP中的用户与IAM中用户组间的映射关系，使得IdP用户获得用户组对应的华为云操作权限。身份转换规则详情请参见：步骤2：配置身份转换规则。
• 在企业管理系统中配置单点登录，使企业用户可以通过企业管理系统中的华为云登录入口直接访问华为云，方法请参考：步骤3：配置企业管理系统登录入口。