联邦身份认证配置概述

联邦身份认证的配置步骤

建立企业管理系统与本系统的联邦身份认证关系，需要完成以下配置步骤。

1. 建立互信关系并创建身份提供商：交换本系统与企业IdP的元数据文件，建立信任关系，并在系统上创建身份提供商。
   图1 交换Metadata文件模型
   
2. 在本系统配置身份转换规则：通过配置身份转换规则，将IdP中的用户、用户组及其访问权限映射到系统，用户转换模型如图 用户转换模型所示。
   图2 用户转换模型
   
3. 配置企业管理系统登录入口：将系统的访问入口配置到企业管理系统中，用户可通过登录企业管理系统直接访问本系统。
   图3 配置单点登录模型
   

企业身份管理与本系统联邦身份认证交互流程

图 联邦身份认证交互流程为用户在发起单点登录请求后，企业身份管理与本系统间的交互流程。

图4 联邦身份认证交互流程

为方便您查看交互的请求及断言消息，建议您使用Chrome浏览器并安装插件“SAML Message Decoder”。

从上图中可知，联邦身份认证的步骤为：

1. 用户在浏览器中打开创建身份提供商后生成的登录链接，浏览器向系统发起单点登录请求。
2. 系统根据登录链接中携带的信息，查找IAM身份提供商中对应的Metadata文件，构建SAML Request，发送给浏览器。
3. 浏览器收到请求后，转发SAML Request给企业IdP。
4. 用户在企业IdP推送的登录页面中输入用户名和密码，企业IdP对用户提供的身份信息进行验证，并构建携带用户信息的SAML断言，向浏览器发送SAML Response。
5. 浏览器响应后转发SAML Response给系统。
6. 系统从SAML Response中取出断言，并根据已配置的身份转换规则映射到具体的IAM用户组，颁发Token。
7. 用户完成单点登录，访问系统。
   

   断言中要携带签名，否则会导致登录失败。