通过OneAccess免密登录单个华为云帐号（SAML-虚拟用户SSO）

本文以SAML协议为例介绍如何实现使用OneAccess免密登录单个华为云帐号。如需了解华为云身份提供商详情，请参考身份提供商概述。

在华为云上创建身份提供商

在华为云控制台创建身份提供商，配置身份提供商的元数据文件后，可以在华为云中建立对OneAccess的信任关系。

登录OneAccess管理门户，下载OneAccess系统的元数据文件（metadata文件）。
1. 登录OneAccess管理门户。
2. 在导航栏中，选择“设置 > 服务配置”。
3. 在“服务配置”页面，单击“IDP配置”。
4. 在弹出的IDP配置页面，单击右上角的“下载IDP元数据”，数据会自动保存。
参考在华为云上创建身份提供商创建身份提供商，其中“类型”选择“虚拟用户SSO”。
- 身份提供商名称不能重复，建议以域名唯一标识命名。
- 虚拟用户SSO定义可参见虚拟用户SSO与IAM用户SSO的适用场景。
- 一个华为云帐号只能存在“IAM用户SSO”和“虚拟用户SSO”中的一种类型的身份提供商。
获取华为云登录链接。
参考在华为云上配置元数据文件把OneAccess IdP的Metadata文件配置到华为云。
参考配置身份转换规则在华为云上配置身份转换规则，使得OneAccess用户拥有华为云访问云服务和资源的权限。
以每个OneAccess用户都对应同一个IAM用户组，登录华为云之后，子用户名称展示为OneAccess用户名为例，转换规则配置如下：
```
[
  {
    "remote": [
      {
        "type": "name"
      }
    ],
    "local": [
      {
        "user": {
          "name": "{0}"
        }
      },
      {
        "group": {
          "name": "admin"
        }
      }
    ]
  }
]
```
其中，remote为OneAccess映射到IAM的信息，取其中的name字段，可取的映射字段可以参考2。

local为IAM本地的信息，其中user为IAM的用户信息，其中的name为展示的子用户名称，{0}为取remote中的第一个字段。group为IAM的用户组信息，表示所有用户都映射到admin的用户组，拥有其所有权限。

同理，也可以在remote中添加多个字段，将其中某个字段设置为用户组名称，来实现不同的用户对应不同的用户组。
```
[
  {
    "remote": [
      {
        "type": "name"
      },
      {
        "type": "Roles"
      }
    ],
    "local": [
      {
        "user": {
          "name": "{0}"
        }
      },
      {
        "groups": "{1}"
      }
    ]
  }
]
```
其中，remote为多映射一个Roles字段（可使用用户属性定义中的自定义字段，多值类型），可以为单值，也可以为多值。

local为使用groups，可以映射到多个IAM用户组，取remote中的第二个Roles字段。

建立OneAccess对华为云的信任关系

在OneAccess中配置华为云的元数据文件，以建立OneAccess对华为云的信任。

在OneAccess上添加华为云应用。
1. 登录OneAccess管理门户，选择“资源 > 应用”。
2. 在应用页面，单击“新增预集成应用”。
3. 在新增预集成应用页面，单击“华为云”应用。
4. 在弹出的添加应用页面，确认通用信息，单击“下一步”。
5. 在认证参数配置页面，选择“导入SP应用元数据 > 选择文件”，选择获取的华为云元数据文件。系统会自动上传文件并提取元数据。
  - 预集成应用为OneAccess专业版用户功能，如果是OneAccess基础版用户，请参考在OneAccess中添加企业应用创建自定义应用后进行1.e操作。
  - 在https://auth.huaweicloud.com/authui/saml/metadata.xml下载华为云元数据文件，并设置文件名称，例如“SP-metadata.xml”。
  - OneAccess同时支持“选取文件”和“手动输入配置数据”方式配置元数据，了解详情请参考在OneAccess中配置元数据文件。
6. 待“选取文件”变为“√”时，代表系统已提取元数据，单击“下一步”，成功添加华为云应用。
7. 在认证集成页面，在“参数配置”页签，单击“编辑”，将“Single Logout URL”对应值中的“/saml/LogoutServiceHTTPRedirect”替换为“/logout”。
配置OneAccess与华为云之间的映射关系。
1. 单击已添加的华为云应用，在应用信息页面，单击应用图标，进入应用详情页面。
2. 选择“认证集成 > 映射配置”，单击“添加映射”，建立OneAccess与华为云之间的属性映射。参数详细说明可参考映射配置。
在OneAccess配置华为云登录入口。

在华为云应用详情页面，选择“登录配置 > 网站应用”，单击“编辑”，将挂接URL替换为3中获取的“登录链接”，单击“确定”保存此次编辑。
图1 编辑挂接URL

如果需要跳转华为云Console中的特定业务页面，需要对华为云创建的身份提供商的“登录链接”进行拼接后填入挂接URL中，此处以跳转CodeArts服务页面为例进行说明：

华为云创建的身份提供商的“登录链接”为：https://auth.huawei.com/authui/federation/websso?domain_id=e35f94************14839c&idp=SAML-OneAccess&protocol=saml

CodeArts服务地址为：https://console.huaweicloud.com/devcloud/?region=cn-south-1&locale=zh-cn#

如果服务地址中带有“agencyId=***&”字段，需要将该字段删除后，使用“&service=”将两个地址进行拼接后填入挂接URL中：

https://auth.huawei.com/authui/federation/websso?domain_id=e35f94************14839c&idp=SAML-OneAccess&protocol=saml&service=https://console.huaweicloud.com/devcloud/?region=cn-south-1&locale=zh-cn#
在OneAccess给用户授予华为云访问权限。
在华为云应用详情页面，选择“授权管理 > 应用账号”，单击“添加账号”，按需勾选账号，单击“保存”，所选用户即可在OneAccess中免密访问华为云。