统一身份认证服务 IAM-基于SAML协议的IAM用户SSO配置概述:联邦身份认证的配置步骤

时间:2023-11-15 16:51:31

联邦身份认证的配置步骤

建立企业管理系统与华为云的联邦身份认证关系,配置流程如下。

图1 基于SAML的 IAM 用户SSO配置流程
  1. 创建身份提供商并建立互信关系:华为云与企业IdP建立联邦认证,需要华为云平台创建一个与企业IdP对应的身份提供商程序。然后,建立联邦认证的双方需首先建立互信关系,双方交换元数据文件,在企业IdP中上传华为云元数据文件,在华为云上传企业IdP的元数据文件。
    图2 交换Metadata文件模型
  2. 配置企业IdP:配置企业IdP参数,规定在交互过程中,企业IdP向华为云发送哪些信息。
  3. 配置外部身份ID:配置外部身份ID,建立IAM用户与企业IdP用户的对应关系,当企业IdP用户使用IAM用户SSO时,会以指定外部身份ID的IAM用户身份登录华为云。例如,企业用户"IdP_Test_User"的ID值与IAM用户“Alice”的外部身份ID一致,则IdP_Test_User会以Alice的身份登录IAM。
    图3 用户转换模型
  4. 登录验证:发起单点登录,测试是否能成功从企业IdP跳转登录华为云。
  5. (可选)配置企业管理系统登录入口:将华为云的访问入口配置到企业管理系统中,用户可通过登录企业管理系统直接访问华为云,如图4所示。
    图4 配置单点登录模型
support.huaweicloud.com/usermanual-iam/iam_08_0254.html