应用身份管理服务 OneAccess应用身份管理服务 OneAccess

更新时间:2021/08/17 GMT+08:00
分享

单点登录华为云

概述

华为云支持基于SAML、OIDC协议的单点登录,如果您的用户需要使用您华为云帐号内的资源,您可以使用OneAccess提供的身份提供商功能,实现用户使用企业身份提供商(Identity Provider ,简称IdP)帐号单点登录华为云。

基本概念

  • 身份提供商(Identity Provider,简称IdP)

    负责收集、存储用户身份信息,如用户名、密码等,在用户登录时负责认证用户的服务。在用户使用企业身份提供商帐号单点登录华为云的过程中,身份提供商指OneAccess。

  • 服务提供商(Service Provider,简称SP)

    服务提供商通过与IdP建立信任关系,使用IdP提供的用户信息,为用户提供具体的服务。在用户使用企业身份提供商帐号单点登录华为云的过程中,服务提供商指华为云。

  • 单点登录(Single Sign-On,简称SSO)

    用户在企业IdP系统登录后,就可以通过跳转链接访问已建立互信关系的SP系统,这一过程称之为单点登录。如:OneAccess与华为云建立互信关系后,OneAccess中的用户通过华为云提供的登录入口,使用已有的帐号密码在企业IdP中登录后,即可跳转访问华为云。

  • SAML 2.0

    安全断言标记语言(Secturity Assertion Markup Language 2.0,缩写为SAML 2.0)是一个由一组协议组成,用来传输安全声明的XML框架。SAML2.0是由标准化组织OASIS提出的用于安全操作的标准,是很多身份提供商 (IdP)使用的一种开放标准,关于SAML2.0的详细描述请参见:SAML 2.0技术概述

本文主要介绍OneAccess基于SAML协议单点登录至华为云的实现流程和配置步骤。

配置流程

图1 配置流程

前提条件

  • 请确保您已拥有OneAccess管理门户的访问权限。
  • 请确保您已拥有华为云账号。如果需要注册请参考注册华为云并实名认证

在华为云上创建身份提供商

在华为云控制台中创建身份提供商,配置身份提供商的元数据文件后,可以在华为云中建立对OneAccess的信任关系,使得企业用户可以直接访问华为云。

  1. 下载OneAccess系统的元数据文件(metadata文件)。

    1. 登录OneAccess管理门户。
    2. 在导航栏中,选择“设置 > 服务配置 > IdP配置”。
    3. 在弹出的IdP配置页面,单击右上角的“IdP元数据”,数据会自动保存。

  2. 在华为云上创建身份提供商。具体可参考:在华为云上创建身份提供商
  3. 在华为云上配置元数据文件。具体可参考:在华为云上配置元数据文件

建立OneAccess对华为云的信任关系

在OneAccess中配置华为云的元数据文件,以建立OneAccess对华为云的信任。

  1. 在OneAccess上添加华为云应用。

    1. 登录OneAccess管理门户。
    2. 在导航栏中,选择“资源 > 应用”。
    3. 在企业应用页面,单击“添加预集成应用”。
      图2 添加预集成应用
    4. 在新增预集成应用页面,单击“华为云”应用。
      图3 单击华为云应用
    5. 在弹出的添加应用页面,确认通用信息,单击“下一步”。
      图4 确认通用信息
    6. 在认证参数配置页面,选择“导入SP应用元数据 > 选取文件”,选择获取的华为云元数据文件。系统会自动上传文件并提取元数据。
      图5 上传元数据文件
    7. 待“选取文件”变为“√”时,代表系统已提取元数据,单击“下一步”,成功添加华为云应用。
      图6 已提取元数据

  2. 配置OneAccess与华为云之间的映射关系。

    登录配置、访问控制、对象模型等设置请参考修改应用配置

    1. 单击1添加的华为云应用,在应用信息页面,单击“华为云”图标,进入应用详情页面。
      图7 单击华为云
    2. 选择“认证配置 > 映射配置”,单击“添加映射”,建立OneAccess与华为云之间的属性映射。参数说明可参考:映射配置
      图8 添加映射
    3. 单击“测试”,进入选择用户页面,输入用户名,可测试OneAccess端与应用端的映射关系。
      图9 测试映射

  3. 配置OneAccess登录入口。

    选择“登录配置 > 网站应用”,单击“编辑”,将挂接URL替换为2中创建的身份提供商的“登录链接”。

    身份提供商的登录链接可参考联邦用户登录验证获取。

    图10 编辑挂接URL

  4. 授权企业用户访问华为云。

    1. 选择“授权管理 > 应用账号”,单击“添加账号”,按需勾选账号,单击“保存”,即可完成账号授权。如需根据策略给用户授权,请参考:修改应用配置中应用账号的授权策略。
      图11 添加账号
      图12 勾选账号

OneAccess用户登录验证

使用4中的授权用户访问用户门户,成功登录以后,单击华为云应用进入华为云。

图13 单击华为云
  • 2中的身份提供商未配置身份转换规则

    此时OneAccess用户只能访问华为云,没有任何权限。

    图14 提示无权限
  • 2中的身份提供商已配置身份转换规则
    • 此时OneAccess用户已配置admin权限。
    • 为OneAccess用户配置权限需要配置身份转换规则,具体说明请参见:配置身份转换规则
    图15 有admin权限
分享:

    相关文档

    相关产品