云服务器内容精选

  • 登录验证 按照登录请求发起方可将联邦用户登录方式分为两类: Idp侧登录:用户从IdP侧(企业自己的身份提供商侧)发起登录请求,例如从Microsoft Active Directory(AD FS)、Shibboleth侧发起登录华为云控制台的请求。 SP侧登录:用户从SP侧(服务提供商侧)发起登录请求,在企业与华为云联邦身份认证的过程中,服务提供商指华为云,SP侧登录链接可在 IAM 控制台身份提供商详情页面获取。 不同的企业IdP发起Idp侧登录的方式差异较大,华为云帮助文档不做详述,具体操作请参考企业IdP的帮助文档。本节重点介绍SP侧发起登录的方法: 联邦用户登录。 在控制台的“身份提供商”页面,单击“操作”列的“查看”,进入“身份提供商基本信息”页面;单击“登录链接”右侧的“”,在浏览器中打开,输入企业管理系统用户名和密码,登录成功。 图1 登录链接 查看联邦用户是否跳转至实体IAM用户。
  • 跳转到指定区域或服务 如需指定联邦用户登录的目标页面,比如联邦用户登录时,指定跳转到北京四局点, 云监控服务 CES主页。有以下两种配置方式: SP侧登录配置方法 拼接控制台获取的登录链接与指定url,拼接格式为“登录链接&service=指定url”。例如:获取的登录地址为https://auth.huaweicloud.com/authui/federation/websso?domain_id=XXX&idp=XXX&protocol=saml,指定跳转的控制台地址为https://console.huaweicloud.com/ces/?region=cn-north-4,按照拼接格式拼接得到的登录链接为:https://auth.huaweicloud.com/authui/federation/websso?domain_id=XXX&idp=XXX&protocol=saml&service=https://console.huaweicloud.com/ces/?region=cn-north-4。 IdP侧登录配置方法 在企业IdP的SAML 断言中配置IAM_SAML_Attributes_redirect_url声明,声明值为指定跳转的目标URL。
  • 联邦身份认证的配置步骤 建立企业管理系统与华为云的联邦身份认证关系,配置流程如下。 图1 基于SAML的IAM用户SSO配置流程 创建身份提供商并建立互信关系:华为云与企业IdP建立联邦认证,需要华为云平台创建一个与企业IdP对应的身份提供商程序。然后,建立联邦认证的双方需首先建立互信关系,双方交换元数据文件,在企业IdP中上传华为云元数据文件,在华为云上传企业IdP的元数据文件。 图2 交换Metadata文件模型 配置企业IdP:配置企业IdP参数,规定在交互过程中,企业IdP向华为云发送哪些信息。 配置外部身份ID:配置外部身份ID,建立IAM用户与企业IdP用户的对应关系,当企业IdP用户使用IAM用户SSO时,会以指定外部身份ID的IAM用户身份登录华为云。例如,企业用户"IdP_Test_User"的ID值与IAM用户“Alice”的外部身份ID一致,则IdP_Test_User会以Alice的身份登录IAM。 图3 用户转换模型 登录验证:发起单点登录,测试是否能成功从企业IdP跳转登录华为云。 (可选)配置企业管理系统登录入口:将华为云的访问入口配置到企业管理系统中,用户可通过登录企业管理系统直接访问华为云,如图4所示。 图4 配置单点登录模型
  • 企业管理系统与华为云联邦身份认证交互流程 图5为用户在发起单点登录请求后,企业管理系统与华为云间的交互流程。 图5 联邦身份认证交互流程 为方便您查看交互的请求及断言消息,建议您使用Chrome浏览器并安装插件“SAML Message Decoder”。 从图5中可知,联邦身份认证的步骤为: 用户在浏览器中打开创建身份提供商后生成的登录链接,浏览器向华为云发起单点登录请求。 华为云根据登录链接中携带的信息,查找IAM身份提供商中对应的Metadata文件,构建SAML Request,发送给浏览器。 浏览器收到请求后,转发SAML Request给企业IdP。 用户在企业IdP推送的登录页面中输入用户名和密码,企业IdP对用户提供的身份信息进行验证,并构建携带用户信息的SAML断言,向浏览器发送SAML Response。 浏览器响应后转发SAML Response给华为云。 华为云从SAML Response中取出断言,并根据已配置的身份转换规则映射到具体的IAM用户组,颁发Token。 用户完成单点登录,访问华为云。 断言中要携带签名,否则会导致登录失败。