华为云 与竹云IDaaS认证集成

7/7/2020 单点登录SSO

# 说明

本章为您介绍基于SAML协议的IDaaS与华为云进行联邦身份认证的内部实现流程和配置步骤,华为云IAM服务参考文档 (opens new window)

# 认证配置

# IDaaS上添加华为云应用

  • 1.登录企业中心。在导航栏中,选择【资源 】> 【应用】。

  • 2.在企业应用页面,单击“添加预集成应用”.

  • 3.在新增预集成应用页面,单击“华为云”应用.

  • 4.在弹出的添加应用页面,默认通用信息,单击“下一步”。

  • 5.在认证参数配置页面,选择“导入SP应用元数据 > 选取文件”,选择华为云元数据文件。系统会自动上传文件并提取元数据。

下载华为云元数据文件 (opens new window)并设置文件名称,例如“SP-metadata.xml”。

  • 6.待“选取文件”变为“√”时,代表系统已提取元数据,单击“下一步”,成功添加华为云应用。

# 华为云控制台创建身份提供商

  • 1.以管理员身份登录华为云控制台,进入统一身份认证服务IAM,创建SAML协议身份提供商。

可参考在华为云上创建身份提供商 (opens new window)

2.查看身份提供商信息,配置IDaaS元数据。

可参考在华为云上配置元数据文件 (opens new window)

IDaaS元数据获取方式:

登录IDaaS企业中心 在导航栏中,选择“设置 > 服务配置 > IdP配置”。 在弹出的IdP配置页面,单击右上角的“IdP元数据”,数据会自动保存

3.设置身份转换规则

参考 华为云身份转换规则配置 (opens new window)

规则示例

[
    {
        "remote": [
            {
                "type": "Username"
            }
        ],
        "local": [
            {
                "user": {
                    "name": "IDAAS_{0}"
                }
            },
            {
                "group": {
                    "name": "idaastest"
                }
            }
        ]
    }
   
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

规则简单说明: remoto中的Username为IDaaS传给华为云的用户属性,用户通过IDaaS认证进入华为云控制台后,显示的名称为IDaaS_Username,用户拥有idaastest这个组下的权限

规则生效的条件:

1.IDaaS中华为云应用的认证配置中添加属性名为Username的映射

2.华为云统一身份认证服务添加idaastest用户组

# 配置华为云挂接URL

华为云目前只支持由华为云发起的登录,所以要拿到华为云身份提供商里面的登录链接,更新到IDaaS中的华为云应用挂接URL。 这样才能通过IDaaS用户中心登录华为云。

  • 1.在华为云身份服务商基本信息中获取华为云身份提供商的登录链接

  • 2.编辑IDaaS中华为云的 登录配置-网站应用-挂接URL,替换为上一步中的身份提供商登录链接

# 用户授权

在IDaaS中华为云的 授权管理-应用账号-添加账号

# 登录验证

  • 1.用授权账号登录IDaaS用户中心:

  • 2.单点华为云系统:

Last Updated: 7/5/2021, 6:30:32 PM