更新时间:2024-04-03 GMT+08:00

步骤1:创建身份提供商

配置联邦身份认证,需要在企业IdP通过浏览器将用户重定向到OIDC身份提供商并创建OAuth 2.0凭据,在IAM控制台上创建身份提供商、配置授权信息,来建立两个系统之间的互信关系。

前提条件

  • 企业管理员在注册了可用的账号,并已在IAM中创建用户组并授权,具体方法请参见:创建用户组并授权。在IAM上创建的用户组是用于与企业IdP上的用户建立映射关系,使得IdP中的用户获取IAM中用户组的权限。
  • 企业管理员已获取企业IdP的帮助文档或了解企业IdP使用方法。由于不同的企业IdP的配置存在较大差异,帮助文档对于企业IdP的配置不做详述,获取企业IdP的OAuth 2.0凭据等具体操作请参考企业IdP的帮助文档。

在企业IdP中创建OAuth 2.0凭据

  1. 企业IdP通过浏览器将用户重定向到OIDC身份提供商。设置授权定向URI为:https:///authui/oidc/redirect和https:///authui/oidc/post。
  2. 获取企业IdP的OAuth 2.0凭据。

在上创建身份提供商

在IAM控制台上创建身份提供商,通过配置授权信息,可以在IAM中建立对IdP的信任关系,使得企业用户可以直接访问。

  1. 进入,在左侧导航窗格中,选择“身份提供商”页签,单击右上方的“创建身份提供商”。
  2. 在弹出的“创建身份提供商”窗口中填写“名称”,选择“协议”为“OpenID Connect”,选择“状态”为“启用”,单击“确定”,创建身份提供商成功。

    身份提供商名称不能重复,建议以域名唯一标识命名。

在上配置授权信息

  1. 单击身份提供商列表中“操作”列的“修改”,进入“修改身份提供商”页面。
  2. 在修改身份提供商页面,选择“访问方式”。

    表1 访问方式

    访问方式

    说明

    编程访问和管理控制台访问

    • 编程访问:可以使用支持访问密钥认证的API、CLI、SDK等开发工具来访问。
    • 管理控制台访问:用户可以使用账号密码登录到管理控制台来访问。

      如果您需要使用SSO方式访问,应该选择此方式。

    编程访问

    用户仅可以使用支持访问密钥认证的API、CLI、SDK等开发工具来访问。

  3. 在修改身份提供商页面,填写“配置信息”。

    表2 配置信息

    配置信息

    说明

    身份提供商URL

    OpenID Connect身份提供商标识。

    对应企业IdP提供的Openid-configuration中"issuer"字段的值。

    说明:

    Openid-configuration是在OpenID Connect中定义的URL,它提供了有关身份提供程序(IdP)的配置信息。URL如下:https://{base URL}/.well-known/openid-configuration,其中base URL由企业IdP定义,如Google提供的Openid-configuration为https://accounts.google.com/.well-known/openid-configuration.

    客户端ID

    在OpenID Connect身份提供商注册的客户端ID。即在企业IdP中创建的OAuth 2.0凭据

    授权请求Endpoint

    OpenID Connect身份提供商授权地址。对应企业IdP提供的Openid-configuration中"authorization_endpoint"字段的值。

    仅访问方式为“编程访问和管理控制台访问”时需要填写。

    授权请求Scope

    授权请求信息范围。默认必选openid。

    仅访问方式为“编程访问和管理控制台访问”时需要填写。

    枚举值:

    • openid
    • email
    • profile

    授权请求Response type

    授权请求返回参数类型,默认必选id_token。

    仅访问方式为“编程访问和管理控制台访问”时需要填写。

    授权请求Response mode

    授权请求返回模式,form_post和fragment两种可选模式,推荐选择form_post模式。

    仅访问方式为“编程访问和管理控制台访问”时需要填写。

    签名公钥

    验证OpenID Connect身份提供商ID Token签名的公钥。为了您的账号安全,建议您定期轮换签名公钥。

  4. 单击“确定”,完成配置。

联邦用户登录验证

  1. 检查登录链接是否可以跳转到企业的IdP服务器提供的登录界面。

    1. 在IAM控制台的“身份提供商”页面,单击“操作”列的“修改”,进入“修改身份提供商”页面。
    2. 在修改身份提供商页面,单击登录链接右侧的“复制”,并在浏览器中打开。
    3. 检查浏览器页面是否跳转到IdP登录界面,如果跳转失败,请确认身份提供商配置信息以及企业IdP服务器配置是否正确。

  2. 输入企业管理系统的用户名和密码验证是否可以登录到。

    • 登录成功:表示单点登录验证成功,您可以将该地址以链接的形式配置到企业管理系统。
    • 登录失败:请检查您的用户名和密码。

    此时联邦用户只能访问,没有任何权限。为联邦用户配置权限需要配置身份转换规则,具体说明请参见:步骤2:配置身份转换规则

相关操作

  • 查看身份提供商信息:在身份提供商列表中,单击“查看”,可查看身份提供商的基本信息、元数据详情、身份转换规则。

    单击“查看身份提供商”页面下方的“修改身份提供商”,可直接进入“修改身份提供商”界面。

  • 修改身份提供商信息:在身份提供商列表中,单击“修改”进入“修改身份提供商”界面。可修改身份提供商的状态(“启用”“停用”)、描述信息、元数据信息和身份转换规则。
  • 删除身份提供商:在身份提供商列表中,单击“删除”,删除对应的身份提供商。

后续任务