云服务器内容精选

  • SAML 2.0 安全断言标记语言(Secturity Assertion Markup Language 2.0,缩写为SAML 2.0)是一个由一组协议组成,用来传输安全声明的XML框架。SAML2.0是由标准化组织OASIS提出的用于安全操作的标准,是很多身份提供商 (IdP)使用的一种开放标准,关于SAML2.0的详细描述请参见:SAML 2.0技术概述。 IAM 支持使用SAML2.0协议进行联邦身份认证,因此与华为云建立联邦身份认证的企业IdP必须支持SAML2.0协议。 IAM身份中心将SAML IdP功能添加到您的IAM身份中心存储或外部身份提供商应用程序,然后用户可以单点登录到支持SAML的服务,包括华为云管理控制台和第三方应用程序。但是SAML协议没有提供查询IdP来了解用户和用户组的方法,因此您必须将这些用户和用户组配置到IAM身份中心来获取这些用户和用户组。
  • 注意事项 在开始部署SCIM之前,我们建议您先查看以下有关它如何与IAM身份中心配合使用的重要注意事项。有关适用于您的IdP的其他配置注意事项,请参阅常用的身份提供商。 如果您要配置主电子邮件地址,则每个用户的此属性值必须是唯一的。在某些IdPs情况下,主电子邮件地址可能不是真实的电子邮件地址。例如,它可能是一个看起来只像电子邮件的通用主体名称(UPN)。它们IdPs可能具有包含用户真实电子邮件地址的辅助或 “其他” 电子邮件地址。您必须在IdP中配置SCIM以将非NULL的唯一电子邮件地址映射到IAM身份中心主电子邮件地址属性。而且您必须将用户的非空唯一登录标识符映射到IAM身份中心用户名属性。检查您的IdP是否有一个既是登录标识符又是用户的电子邮件名称的单一值。如果是,您可以将该IdP字段映射到IAM身份中心主电子邮件和IAM身份中心用户名。 要使SCIM同步正常运行,每个用户都必须指定名字、姓氏、用户名和显示名称值。如果某个用户缺少这些值中的任何一个,则不会配置该用户。 如果您需要使用第三方应用程序,则首先需要将出站SAML主题属性映射到用户名属性。如果第三方应用程序需要可路由的电子邮件地址,则必须向您的IdP提供电子邮件属性。 SCIM配置和更新间隔由您的身份提供商控制。只有在您的身份提供商将更改发送到IAM身份中心后,对身份提供商中的用户和群组所做的更改才会反映在IAM身份中心中。有关用户和群组更新频率的详细信息,请咨询您的身份提供商。 目前,SCIM未提供多值属性(例如给定用户的多个电子邮件或电话号码)。尝试使用SCIM将多值属性同步到IAM身份中心将失败。为避免失败,请确保仅为每个属性传递一个值。如果您的用户具有多值属性,请移除或修改您的IdP的SCIM中用于连接到IAM身份中心的重复属性映射。 验证您的externalId IdP上的SCIM映射对应于一个唯一的值,该值始终存在且对您的用户而言更改的可能性最小。例如,您的IdP可能会提供不受姓名和电子邮件等用户属性更改影响的保证标识符objectId或其他标识符。如果是这样,则可以将该值映射到SCIM externalId字段。这样可以确保在您需要更改用户名或电子邮件时,您的用户不会丢失他们的华为云权利、任务或权限。 尚未分配到应用程序或帐号的用户无法配置到IAM身份中心。要同步用户和群组,请确保将他们分配给代表您的IdP与IAM身份中心连接的应用程序或其他设置。