配置联邦身份认证,需要在企业IdP上传华为云的元数据文件(Metadata文件),并在IAM控制台上创建身份提供商、上传企业IdP系统的元数据文件,来建立两个系统之间的互信关系。
企业管理员在华为云上注册了可用的帐号,并已在IAM中创建用户组并授权,具体方法请参见:创建用户组并授权。
在华为云IAM上创建的用户组是用于与IdP上的用户建立映射关系,使得IdP中的用户获取华为云IAM中用户组的权限。
在IdP中配置华为云的元数据文件,以建立IdP对华为云的信任。常用企业IdP,如Microsoft Active Directory(AD FS)和Shibboleth的配置步骤,请参见:与华为云集成第三方IdP解决方案提供商示例。
访问网址:https://auth.huaweicloud.com/authui/saml/metadata.xml。下载华为云元数据文件,并设置文件名称,例如“SP-metadata.xml”。
在IAM控制台中创建身份提供商,配置身份提供商的元数据文件后,可以在IAM中建立对IdP的信任关系,使得企业用户可以直接访问华为云。
身份提供商名称不能重复,建议以域名唯一标识命名。
配置元数据文件,即把企业IdP的Metadata文件配置到华为云。IAM支持“上传文件”和“手动编辑”两种配置,选择其中一种即可。如果元数据文件超过500KB,请通过“手动编辑”配置元数据。如果后续元数据有更新,需要用户重新上传或者编辑元数据,否则会影响联邦用户登录华为云。
企业IdP的Metadata文件获取方法请参考企业IdP提供商的帮助文档
参数 |
是否必选 |
含义 |
---|---|---|
Entity ID |
是 |
对应IdP元数据文件中“entityID”的值。 企业身份提供商的唯一标识,元数据文件中可能包含多个身份提供商,需要选择对应的身份提供商。 |
支持的协议 |
是 |
企业IdP与服务提供商之间,通过SAML协议完成联邦身份认证。 |
支持的NameIdFormat |
否 |
对应IdP元数据文件中“NameIdFormat”的值。 身份提供商支持的用户名称标识格式。名称标识是身份提供商与联邦用户之间实现通信的一种方式。 |
签名证书 |
是 |
对应IdP元数据文件中“<X509Certificate>” 的值。 签名证书是一份包含公钥用于验证签名的证书,为了确保安全性,建议使用长度大于等于2048位的公钥。IAM通过元数据文件中的签名证书来确认联邦身份认证过程中断言消息的可信性、完整性。 |
SingleSignOnService |
是 |
对应IdP元数据文件中“SingleSignOnService” 的值。 单点登录过程中发送SAML请求的方式。元数据文件中的“SingleSignOnService”需要支持HTTP Redirect或HTTP POST方式。 |
SingleLogoutService |
否 |
对应IdP元数据文件中“SingleLogoutService” 的值。 服务提供商提供会话注销功能,联邦用户在IAM注销会话后返回绑定的地址。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。 |
示例:以下为某企业IdP的元数据文件和手动编辑元数据信息时需要填入的内容。
此时联邦用户只能访问华为云,没有任何权限。为联邦用户配置权限需要配置身份转换规则,具体说明请参见:步骤2:配置身份转换规则。
单击“查看身份提供商”页面下方的“修改身份提供商”,可直接进入“修改身份提供商”界面。
本文转载自微信公众号「小姐姐味道」,作者小姐姐养的狗 。转载本文请联系小姐姐...
1.向上扩展(Scale-Up) 相对于向外扩充,向上扩充(Scale up)则指企业后端大型服务...
2018杭州·云栖大会将于9月19-22日在杭州云栖小镇举办,会议主题为“驱动数字中...
本入门教程采用ecs.g6.large实例规格,在Alibaba Cloud Linux 2.1903 LTS 64位系...
服务器租用 托管需要注意的两大点:一,托管服务器够用即可。二, 服务器托管 的...
阿里云文件存储NAS(Network Attached Storage) 是一种分布式的网络文件存储,...
云手机介绍 云手机(Cloud Phone,简称CPH),是基于华为云裸金属服务器虚拟出的...
我们在选择好的服务器租用提供商的时候,除了注重其自身资质等条件之外,还应该...
登录 腾讯云控制台,选择【云产品】【监控与运维】【云监控】,进入云监控控制台...
1. 接口描述 接口请求域名: vpc.tencentcloudapi.com 。 该接口用于查询账户下...