统一身份认证服务 IAM-步骤1:创建身份提供商:在华为云上配置授权信息

时间:2024-06-17 19:18:20

在华为云上配置授权信息

  1. 单击身份提供商列表中“操作”列的“修改”,进入“修改身份提供商”页面。

    图3 修改身份提供商

  2. 在修改身份提供商页面,选择“访问方式”。

    图4 访问方式
    表1 访问方式

    访问方式

    说明

    编程访问和管理控制台访问

    • 编程访问:可以使用支持访问密钥认证的API、CLI、SDK等开发工具来访问华为云。
    • 管理控制台访问:用户可以使用账号密码登录到管理控制台来访问华为云。

      如果您需要使用SSO方式访问华为云,应该选择此方式。

    编程访问

    用户仅可以使用支持访问密钥认证的API、CLI、SDK等开发工具来访问华为云。

  3. 在修改身份提供商页面,填写“配置信息”。

    图5 配置信息
    表2 配置信息

    配置信息

    说明

    身份提供商URL

    OpenID Connect身份提供商标识。

    对应企业IdP提供的Openid-configuration中"issuer"字段的值。

    说明:

    Openid-configuration是在OpenID Connect中定义的URL,它提供了有关身份提供程序(IdP)的配置信息。URL如下:https://{base URL}/.well-known/openid-configuration,其中base URL由企业IdP定义,如Google提供的Openid-configuration为https://accounts.google.com/.well-known/openid-configuration.

    客户端ID

    在OpenID Connect身份提供商注册的客户端ID。即在企业IdP中创建的OAuth 2.0凭据

    授权请求Endpoint

    OpenID Connect身份提供商授权地址。对应企业IdP提供的Openid-configuration中"authorization_endpoint"字段的值。

    仅访问方式为“编程访问和管理控制台访问”时需要填写。

    授权请求Scope

    授权请求信息范围。默认必选openid。

    仅访问方式为“编程访问和管理控制台访问”时需要填写。

    枚举值:

    • openid
    • email
    • profile

    授权请求Response type

    授权请求返回参数类型,默认必选id_token。

    仅访问方式为“编程访问和管理控制台访问”时需要填写。

    授权请求Response mode

    授权请求返回模式,form_post和fragment两种可选模式,推荐选择form_post模式。

    • form_post:选择form_post模式时,请在身份提供商侧将redirect urI配置为:https://auth.huaweicloud.com/authui/oidc/post。
    • fragment:选择fragment模式时,请在身份提供商侧将redirect url配置为:https://auth.huaweicloud.com/authui/oidc/redirect。

    仅访问方式为“编程访问和管理控制台访问”时需要填写。

    签名公钥

    验证OpenID Connect身份提供商ID Token签名的公钥。为了您的账号安全,建议您定期轮换签名公钥。

  4. 单击“确定”,完成配置。
support.huaweicloud.com/usermanual-iam/iam_08_0009.html