文档首页/ 统一身份认证服务 IAM/ API参考/ 快速入门/ 企业管理华为云上多租户的联邦认证

更新时间：2024-02-27 GMT+08:00

编辑

查看PDF

企业管理华为云上多租户的联邦认证

场景描述

部分企业级用户在公有云上存在多账号，并且通过企业级IDP系统联邦登录至公有云对不同账号进行操作，需要提前通过API自动配置联邦认证。

本章节指导用户如何使用API调用的方式自动配置联邦认证。

前提条件

账号进行注册或导入操作需要拥有Security Administrator权限。

总体思路

进行华为云上多租户的联邦认证，步骤如下：

注册身份提供商；
注册映射；
注册协议；
导入Metadata文件；
联邦登录。

涉及的接口如下：

步骤1：注册身份提供商

URI：PUT /v3/OS-FEDERATION/identity_providers/{id}

API文档详情请参见：创建身份提供商

API Explorer在线调试请参见：注册身份提供商

请求示例

PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/{id}

{
     "identity_provider":{
         "description":"Stores ACME identities.",
         "enabled":true
     }
 }

响应示例

{
    "identity_provider": {
        "remote_ids": [],
        "enabled": true,
        "id": "ACME",
        "links": {
            "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME",
            "protocols": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME/protocols"
        },
        "description": "Stores ACME identities."
    }
}

步骤2：注册映射

URI： PUT /v3/OS-FEDERATION/mappings/{id}

API文档详情请参见：注册映射

API Explorer在线调试请参见：注册映射

请求示例

PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/mappings/{id}

{
     "mapping":{
         "rules":[
             {
                 "local":[
                     {
                         "user":{
                             "name":"LocalUser"
                         }
                     },
                     {
                         "group":{
                             "name":"LocalGroup"
                         }
                     }
                 ],
                 "remote":[
                     {
                         "type":"UserName"
                     },
                     {
                         "not_any_of":[
                             "Contractor",
                             "Guest"
                         ],
                         "type":"orgPersonType"
                     }
                 ]
             }
         ]
     }
 }

响应示例

{
     "mapping":{
         "id":"ACME",
         "links":{
             "self":"https://iam.myhuaweicloud.com/v3/OS-FEDERATION/mappings/ACME"
         },
         "rules":[
             {
                 "local":[
                     {
                         "user":{
                             "name":"LocalUser"
                         }
                     },
                     {
                         "group":{
                             "name":"LocalGroup"
                         }
                     }
                 ],
                 "remote":[
                     {
                         "type":"UserName"
                     },
                     {
                         "not_any_of":[
                             "Contractor",
                             "Guest"
                         ],
                         "type":"orgPersonType"
                     }
                 ]
             }
         ]
     }
 }

步骤3：注册协议

URI：PUT /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}

API文档详情请参见：注册协议

API Explorer在线调试请参见：注册协议

请求示例

PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}

{
     "protocol":{
         "mapping_id":"ACME"
     }
 }

响应示例

{
     "protocol":{
         "id":"saml",
         "links":{
             "identity_provider":"https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME",
             "self":"https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME/protocols/saml"
         },
         "mapping_id":"ACME"
     }
 }

步骤4：导入metadata文件

URI：POST /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata

API文档详情请参见：导入Metadata文件

API Explorer在线调试请参见：导入Metadata文件

请求示例

POST https://iam.myhuaweicloud.com/v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata

{
     "domain_id":"d78cbac186b744899480f25bd022....",
     "metadata":"$metadataContent",
     "xaccount_type":""
 }

响应示例

{
     "message":"Import metadata successful"
 }

步骤5：联邦登录

完成云上多租户联邦认证配置。联邦登录详情参考：身份提供商。

父主题： 快速入门

上一篇：密钥定期自动化轮换

下一篇：对IAM用户的权限进行安全审计

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！您可在我的云声建议查看反馈及问题处理状态。

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消

如您有其它疑问，您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问

企业管理华为云上多租户的联邦认证

场景描述

前提条件

总体思路

步骤1：注册身份提供商

步骤2：注册映射

步骤3：注册协议

步骤4：导入metadata文件

步骤5：联邦登录

相关文档

意见反馈

文档内容是否对您有帮助？

7*24

备案

专业服务

退订

建议反馈

售前咨询热线