联邦身份认证配置概述_统一身份认证服务 IAM_用户指南_身份提供

联邦身份认证的配置步骤

建立企业IdP与华为云的联邦身份认证关系，需要完成以下配置步骤。

1. 建立互信关系并创建身份提供商：交换华为云与企业IdP的元数据文件，建立信任关系，如图1所示，并在华为云上创建身份提供商。
   图1 交换Metadata文件模型
   
2. 在华为云配置身份转换规则：通过配置身份转换规则，将IdP中的用户、用户组及其访问权限映射到华为云，用户转换模型如图2所示。
   图2 用户转换模型
   
3. 配置企业管理系统登录入口：将华为云的访问入口配置到企业管理系统中，用户可通过登录企业系统直接访问华为云，如图3所示。
   图3 配置单点登录模型
   

企业IdP与华为云联邦身份认证交互流程

图4为用户在发起单点登录请求后，企业IdP与华为云间的交互流程。

图4 联邦身份认证交互流程

为方便您查看交互的请求及断言消息，建议您使用Chrome浏览器并安装插件“SAML Message Decoder”。

从图4中可知，联邦身份认证的步骤为：

1. 用户在浏览器中打开创建身份提供商后生成的登录链接，浏览器向华为云发起单点登录请求。
2. 华为云根据登录链接中携带的信息，查找IAM身份提供商中对应的Metadata文件，构建SAML Request，发送给浏览器。
3. 浏览器收到请求后，转发SAML Request给企业IdP。
4. 用户在企业IdP推送的登录页面中输入用户名和密码，企业IdP对用户提供的身份信息进行验证，并构建携带用户信息的SAML断言，向浏览器发送SAML Response。
5. 浏览器响应后转发SAML Response给华为云。
6. 华为云从SAML Response中取出断言，并根据已配置的身份转换规则映射到具体的IAM用户组，颁发Token。
7. 用户完成单点登录，访问华为云。
   

   断言中要携带签名，否则会导致登录失败。

联邦身份认证配置示例

由于不同的企业IdP系统的配置存在较大差异，本章中对于企业IdP的配置不做详述，具体操作请参考IdP提供商的帮助文档。常见IdP与华为云建立联邦身份认证的操作，请参见：

• 使用Active Directory Federation Services建立与华为云的联邦身份认证
• 使用Shibboleth IdP建立与华为云的联邦身份认证
• 使用Azure AD建立与华为云的联邦身份认证