更新时间:2024-04-15 GMT+08:00

步骤1:创建身份提供商

配置联邦身份认证,需要在企业IdP上传本系统的元数据文件(Metadata文件),并在IAM控制台上创建身份提供商、上传企业IdP的元数据文件,来建立两个系统之间的互信关系。

前提条件

  • 企业管理员在云服务平台上注册了可用的账号,并已在IAM中创建用户组并授权,具体方法请参见:创建用户组并授权在IAM上创建的用户组是用于与企业IdP上的用户建立映射关系,使得IdP中的用户获取IAM中用户组的权限。
  • 企业管理员已获取企业IdP的帮助文档或了解企业IdP使用方法。由于不同的企业IdP的配置存在较大差异,云服务平台帮助文档对于企业IdP的配置不做详述,获取企业IdP的元数据文件、云服务平台元数据上传至企业IdP等具体操作请参考企业IdP的帮助文档。

建立企业IdP对本系统的信任关系

在IdP中配置系统的元数据文件,以建立IdP对系统的信任。

  1. 下载系统的元数据文件(metadata文件)。

    • WebSSO:访问网址“https://系统的authui服务的域名/authui/saml/metadata.xml”,单击右键,选择“目标另存为”并设置文件名称,例如websso-metadata.xml。
    • API接口调用:访问网址“https://区域的终点节点地址/v3-ext/auth/OS-FEDERATION/SSO/metadata”,单击右键,选择“目标另存为”并设置文件名称,例如api-metadata-region.xml。

      本系统在不同的区域提供不同的API网关供用户调用API接口,如果用户需要访问多个区域,需要下载多个区域的元数据文件。

  2. 将上述文件上传到企业IdP服务器上,上传方法请参见IdP提供商的帮助文档
  3. 获取企业IdP的元数据文件。获取方法请参见IdP提供商的帮助文档。

在系统上创建身份提供商

在IAM控制台上创建身份提供商,配置身份提供商的元数据文件后,可以在IAM中建立对IdP的信任关系,使得企业用户可以直接访问本系统

  1. 进入IAM控制台,在左侧导航窗格中,选择“身份提供商”页签,单击右上方的“创建身份提供商”。
  2. 在“创建身份提供商”窗口中设置名称、协议、类型、状态、描述。

    表1 身份提供商基本参数

    参数

    含义

    名称

    身份提供商的名称。身份提供商名称不能重复,建议以域名唯一标识命名。

    协议

    身份提供商协议。当前本系统支持基于SAML、OIDC的身份提供商,如需创建基于OIDC协议的联邦身份认证,请参考基于OIDC协议的联邦身份认证

    类型

    身份提供商类型。一个账号下只能存在一种类型的身份提供商。

    • 虚拟用户SSO:该身份提供商中的用户登录云平台后,系统为其自动创建虚拟用户信息。一个账号可以创建多个虚拟用户SSO类型的身份提供商。
    • IAM用户SSO:该身份提供商中的用户登录云平台后,系统将自动匹配外部身份ID绑定的对应IAM子用户,从而拥有该子用户所在用户组的权限。一个账号下只能创建一个IAM用户SSO类型的身份提供商。如果选择该类型,请确保您已为用户创建对应的IAM用户并设置外部身份ID,请参考创建IAM用户

    状态

    身份提供商的状态。默认设置为“启用”。

    身份提供商名称不能重复,建议以域名唯一标识命名。

  3. 单击“确定”,创建身份提供商成功。

在系统上配置元数据文件

配置元数据文件,即把3获取到的企业IdP的元数据文件配置到系统。IAM支持“上传文件”和“手动编辑”两种配置,选择其中一种即可。如果元数据文件超过500KB,请通过“手动编辑”配置元数据。如果后续元数据有更新,需要用户重新上传或者编辑元数据,否则会影响联邦用户登录本系统
  • 上传元数据
    1. 单击身份提供商列表中“操作”列的“修改”。
    2. 单击“上传文件”左侧的“添加文件”,选择获取的企业IdP的元数据文件。
      图1 上传元数据文件
    3. 单击“上传文件”。弹出页面显示系统提取到的元数据,单击“确定”。
      • 提示“系统发现您上传的文件中包含多个身份提供商,请选择您本次需要使用的身份提供商”,请在“Entity ID”下拉框中选择您本次需要使用的身份提供商。
      • 提示元数据文件中Entity ID为空、签名证书过期等内容时,需要您确认元数据文件的正确性后,重新上传或者通过手动编辑提取元数据。
    4. 单击“确定”。
  • 手动编辑元数据
    1. 单击“手动编辑”
    2. “手动编辑元数据”页面中,输入从企业IdP元数据文件中获取的“Entity ID”“签名证书”“SingleSignOnService”等参数。

      参数

      是否必选

      含义

      Entity ID

      对应IdP元数据文件中“entityID”的值。

      企业身份提供商的唯一标识,元数据文件中可能包含多个身份提供商,需要选择对应的身份提供商。

      支持的协议

      企业IdP与服务提供商之间,通过SAML协议完成联邦身份认证。

      支持的NameIdFormat

      对应IdP元数据文件中“NameIdFormat”的值。

      身份提供商支持的用户名称标识格式。名称标识是身份提供商与联邦用户之间实现通信的一种方式。

      签名证书

      对应IdP元数据文件中“<X509Certificate>” 的值。

      签名证书是一份包含公钥用于验证签名的证书,为了确保安全性,建议使用长度大于等于2048位的公钥。IAM通过元数据文件中的签名证书来确认联邦身份认证过程中断言消息的可信性、完整性。

      SingleSignOnService

      对应IdP元数据文件中“SingleSignOnService” 的值。

      单点登录过程中发送SAML请求的方式。元数据文件中的“SingleSignOnService”需要支持HTTP Redirect或HTTP POST方式。

      SingleLogoutService

      对应IdP元数据文件中“SingleLogoutService” 的值。

      服务提供商提供会话注销功能,联邦用户在IAM注销会话后返回绑定的地址。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。

      示例:以下为某企业IdP的元数据文件和手动编辑元数据信息时需要填入的内容。

      图2 某企业IdP的元数据文件
    3. 单击“确定”
  • 单击“确定”,保存设置信息。

联邦用户登录验证

  1. 检查登录链接是否可以跳转到企业的IdP服务器提供的登录界面。

    1. 在IAM控制台的“身份提供商”页面,单击“操作”列的“查看”,进入“身份提供商基本信息”页面;单击“登录链接”右侧的“复制”,并在浏览器中打开。
    2. 检查浏览器页面是否跳转到IdP登录界面,如果跳转失败,请确认获取的企业元数据文件以及企业IdP服务器配置是否正确。

  2. 输入企业管理系统的用户名和密码验证是否可以登录到系统

    • 登录成功:表示单点登录验证成功,您可以将该地址以链接的形式配置到企业网站。
    • 登录失败:请检查您的用户名和密码。

    此时联邦用户只能访问系统,没有任何权限。为联邦用户配置权限需要配置身份转换规则,具体说明请参见:步骤2:配置身份转换规则

相关操作

  • 查看身份提供商信息:在身份提供商列表中,单击“查看”,可查看身份提供商的基本信息、元数据详情、身份转换规则。

    单击“查看身份提供商”页面下方的“修改身份提供商”,可直接进入“修改身份提供商”界面。

  • 修改身份提供商信息:在身份提供商列表中,单击“修改”进入“修改身份提供商”界面。可修改身份提供商的状态(“启用”“停用”)、描述信息、元数据信息和身份转换规则。
  • 删除身份提供商:在身份提供商列表中,单击“删除”,删除对应的身份提供商。

后续任务

  • “身份转换规则”区域,配置身份转换规则,建立IdP中的用户与IAM中用户组间的映射关系,使得IdP用户获得用户组对应的系统操作权限。身份转换规则详情请参见:步骤2:配置身份转换规则
  • 在企业管理系统中配置单点登录,使企业用户可以通过企业管理系统中的系统登录入口直接访问本系统,方法请参考:步骤3:配置企业管理系统登录入口