华为云单点登录

说明

本章为您介绍基于SAML协议的IDaaS与华为云进行联邦身份认证的内部实现流程和配置步骤，华为云IAM服务参考文档 (opens new window)

认证配置

IDaaS上添加华为云应用

1. 登录企业中心。在导航栏中，选择【资源 】> 【应用】。

2. 在企业应用页面，单击“添加预集成应用”。

3. 在新增预集成应用页面，单击“华为云”应用。

4. 在弹出的添加应用页面，默认通用信息，单击“下一步”。

5. 在认证参数配置页面，选择“导入SP应用元数据 > 选取文件”，选择华为云元数据文件。系统会自动上传文件并提取元数据。

6. 下载华为云元数据文件 (opens new window)并设置文件名称，例如“SP-metadata.xml”。

   

7. 待“选取文件”变为“√”时，代表系统已提取元数据，单击“下一步”，成功添加华为云应用。

华为云控制台创建身份提供商

1. 以管理员身份登录华为云控制台，进入统一身份认证服务IAM，创建SAML协议身份提供商。可参考在华为云上创建身份提供商 (opens new window)。

   

2. 查看身份提供商信息，配置IDaaS元数据。可参考在华为云上配置元数据文件 (opens new window)。

   IDaaS元数据获取方式：登录IDaaS企业中心，在导航栏中，选择“设置 > 服务配置 > IdP配置”。在弹出的IdP配置页面，单击右上角的“IdP元数据”，数据会自动保存。

   

3. 设置身份转换规则，参考华为云身份转换规则配置 (opens new window)。

   规则示例：

   [
       {
           "remote": [
               {
                   "type": "Username"
               }
           ],
           "local": [
               {
                   "user": {
                       "name": "IDAAS_{0}"
                   }
               },
               {
                   "group": {
                       "name": "idaastest"
                   }
               }
           ]
       }
   

   规则简单说明： remoto中的Username为IDaaS传给华为云的用户属性，用户通过IDaaS认证进入华为云控制台后，显示的名称为IDaaS_Username,用户拥有idaastest这个组下的权限

   

   规则生效的条件：

   1. IDaaS中华为云应用的认证配置中添加属性名为Username的映射
   2. 华为云统一身份认证服务添加idaastest用户组

   

配置华为云挂接URL

华为云目前只支持由华为云发起的登录,所以要拿到华为云身份提供商里面的登录链接，更新到IDaaS中的华为云应用挂接URL。 这样才能通过IDaaS用户中心登录华为云。

1. 在华为云身份服务商基本信息中获取华为云身份提供商的登录链接。

2. 编辑IDaaS中华为云的 登录配置-网站应用-挂接URL，替换为上一步中的身份提供商登录链接。

   

用户授权

在IDaaS中华为云的 授权管理-应用账号-添加账号。

登录验证

用授权账号登录IDaaS用户中心，单击华为云logo，单点登录华为云系统。