本文為您介紹如何在IDaaS中配置華為云用戶單點登錄。使用SSO,您的企業(yè)成員可以使用企業(yè)賬號單點登錄華為云,這一過程在華為云中稱為聯(lián)邦身份認證。
操作步驟
一、創(chuàng)建應用
登錄IDaaS管理控制臺。
選擇IDaaS實例并在操作區(qū)域下方單擊訪問控制臺。
前往,搜索華為云用戶SSO。單擊添加應用。
確認應用名稱,即可立即添加。
二、配置應用單點登錄
添加應用后,將自動跳轉到應用單點登錄配置頁,您將在此處進行配置。
輸入初始化登錄地址(該地址在下文第三步中獲取)。
選擇應用賬號名屬性,用戶進行單點登錄時,將以該字段作為主鍵,對應至華為云中的IAM用戶,從而實現(xiàn)在華為云中的登錄。
如果僅用于測試,建議授權范圍選擇全員可訪問 ,以便跳過為IDaaS賬號分配權限的步驟。
在應用配置信息中,下載IdP 元數(shù)據(jù),保存到電腦中。此文件用于建立華為云對IDaaS的信任關系。
三、在華為云中配置用戶SSO
登錄華為云IAM控制臺。
在左側導航欄中,單擊身份提供商。
單擊創(chuàng)建身份提供商。
填寫名稱,并單擊確定。
單擊修改身份提供商,或在身份提供商列表頁面中單擊修改。
在元數(shù)據(jù)配置單擊添加文件,選擇在步驟二中在IDaaS下載的IdP 元數(shù)據(jù),并單擊上傳文件,確認元數(shù)據(jù)配置(一般無需修改)。
前往用戶頁面,將IAM用戶登錄鏈接復制出來,回填到上文第二步中IDaaS應用詳情中的初始化登錄地址。完成后,單擊確定按鈕,完成身份提供商的創(chuàng)建。
四、嘗試SSO
您已經(jīng)可以開始華為云用戶SSO。有如下兩種發(fā)起模式。
使用已擁有華為云用戶SSO應用權限的IDaaS賬戶,登錄到IDaaS應用門戶頁,單擊頁面上的圖標,即可發(fā)起單點登錄,以聯(lián)邦用戶的身份登錄至華為云。
使用匿名瀏覽器,打開華為云登錄頁,單擊下方企業(yè)聯(lián)邦用戶。
輸入原華為云賬號名/租戶名 ,選擇身份提供商,并單擊前往登錄。
單擊后,如果您已登錄IDaaS應用門戶,則可以聯(lián)邦用戶的身份直接登錄至華為云;否則將跳轉至IDaaS的登錄頁,在IDaaS中完成登錄后自動完成華為云的登錄。
五、配置身份轉換規(guī)則
在以聯(lián)邦用戶的身份單點登錄到華為云后,用戶在華為云中的用戶名默認為“FederationUser”,且聯(lián)邦用戶僅能訪問華為云,沒有任何權限。您可以在華為云IAM控制臺配置身份轉換規(guī)則,實現(xiàn):
企業(yè)管理系統(tǒng)用戶在華為云中顯示不同的用戶名。
賦予企業(yè)管理系統(tǒng)用戶使用華為云資源的權限。
詳情請查看華為云官方文檔:《步驟2:配置身份轉換規(guī)則》。