华为云 与竹云IDaaS认证集成
# 说明
本章为您介绍基于SAML协议的IDaaS与华为云进行联邦身份认证的内部实现流程和配置步骤,华为云IAM服务参考文档 (opens new window)
# 认证配置
# IDaaS上添加华为云应用
1.登录企业中心。在导航栏中,选择【资源 】> 【应用】。
2.在企业应用页面,单击“添加预集成应用”.
3.在新增预集成应用页面,单击“华为云”应用.
4.在弹出的添加应用页面,默认通用信息,单击“下一步”。
5.在认证参数配置页面,选择“导入SP应用元数据 > 选取文件”,选择华为云元数据文件。系统会自动上传文件并提取元数据。
下载华为云元数据文件 (opens new window)并设置文件名称,例如“SP-metadata.xml”。
- 6.待“选取文件”变为“√”时,代表系统已提取元数据,单击“下一步”,成功添加华为云应用。
# 华为云控制台创建身份提供商
- 1.以管理员身份登录华为云控制台,进入统一身份认证服务IAM,创建SAML协议身份提供商。
可参考在华为云上创建身份提供商 (opens new window)
2.查看身份提供商信息,配置IDaaS元数据。
可参考在华为云上配置元数据文件 (opens new window)
IDaaS元数据获取方式:
登录IDaaS企业中心 在导航栏中,选择“设置 > 服务配置 > IdP配置”。 在弹出的IdP配置页面,单击右上角的“IdP元数据”,数据会自动保存
3.设置身份转换规则
参考 华为云身份转换规则配置 (opens new window)
规则示例
[
{
"remote": [
{
"type": "Username"
}
],
"local": [
{
"user": {
"name": "IDAAS_{0}"
}
},
{
"group": {
"name": "idaastest"
}
}
]
}
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
规则简单说明: remoto中的Username为IDaaS传给华为云的用户属性,用户通过IDaaS认证进入华为云控制台后,显示的名称为IDaaS_Username,用户拥有idaastest这个组下的权限
规则生效的条件:
1.IDaaS中华为云应用的认证配置中添加属性名为Username的映射
2.华为云统一身份认证服务添加idaastest用户组
# 配置华为云挂接URL
华为云目前只支持由华为云发起的登录,所以要拿到华为云身份提供商里面的登录链接,更新到IDaaS中的华为云应用挂接URL。 这样才能通过IDaaS用户中心登录华为云。
1.在华为云身份服务商基本信息中获取华为云身份提供商的登录链接
2.编辑IDaaS中华为云的 登录配置-网站应用-挂接URL,替换为上一步中的身份提供商登录链接
# 用户授权
在IDaaS中华为云的 授权管理-应用账号-添加账号
# 登录验证
1.用授权账号登录IDaaS用户中心:
2.单点华为云系统: