步骤1:创建身份提供商
配置联邦身份认证,需要在企业IdP通过浏览器将用户重定向到OIDC身份提供商并创建OAuth 2.0凭据,在IAM控制台上创建身份提供商、配置授权信息,来建立两个系统之间的互信关系。
前提条件
- 企业管理员在云服务平台上注册了可用的账号,并已在IAM中创建用户组并授权,具体方法请参见:创建用户组并授权。在IAM上创建的用户组是用于与企业IdP上的用户建立映射关系,使得IdP中的用户获取IAM中用户组的权限。
- 企业管理员已获取企业IdP的帮助文档或了解企业IdP使用方法。由于不同的企业IdP的配置存在较大差异,云服务平台帮助文档对于企业IdP的配置不做详述,获取企业IdP的OAuth 2.0凭据等具体操作请参考企业IdP的帮助文档。
在企业IdP中创建OAuth 2.0凭据
- 企业IdP通过浏览器将用户重定向到本系统OIDC身份提供商。
- 获取企业IdP的OAuth 2.0凭据。
由于不同的企业IdP的配置存在较大差异,本章中对于企业IdP的配置不做详述,具体操作请参考IdP提供商的帮助文档。
在本系统中创建身份提供商
在IAM控制台上创建身份提供商,通过配置授权信息,可以在IAM中建立对IdP的信任关系,使得企业用户可以直接访问本系统。
- 进入IAM控制台,在左侧导航窗格中,选择“身份提供商”页签,单击右上方的“创建身份提供商”。
图1 创建身份提供商
- 在弹出的“创建身份提供商”窗口中填写“名称”,选择“协议”为“OpenID Connect”,选择“状态”为“启用”,单击“确定”,创建身份提供商成功。
身份提供商名称不能重复,建议以域名唯一标识命名。
在本系统中配置授权信息
- 单击身份提供商列表中“操作”列的“修改”,进入“修改身份提供商”页面。
- 在修改身份提供商页面,选择“访问方式”。
表1 访问方式 访问方式
说明
编程访问和管理控制台访问
- 编程访问:可以使用支持访问密钥认证的API、CLI、SDK等开发工具来访问本系统。
- 管理控制台访问:用户可以使用账号密码登录到管理控制台来访问本系统。
如果您需要使用SSO方式访问本系统,应该选择此方式。
编程访问
用户仅可以使用支持访问密钥认证的API、CLI、SDK等开发工具来访问本系统。
- 在修改身份提供商页面,填写“配置信息”。
表2 配置信息 配置信息
说明
身份提供商URL
OpenID Connect身份提供商标识。
对应企业IdP提供的Openid-configuration中"issuer"字段的值。
说明:Openid-configuration是在OpenID Connect中定义的URL,它提供了有关身份提供程序(IdP)的配置信息。URL如下:https://{base URL}/.well-known/openid-configuration,其中base URL由企业IdP定义,如Google提供的Openid-configuration为https://accounts.google.com/.well-known/openid-configuration.
客户端ID
在OpenID Connect身份提供商注册的客户端ID。即在企业IdP中创建的OAuth 2.0凭据。
授权请求Endpoint
OpenID Connect身份提供商授权地址。对应企业IdP提供的Openid-configuration中"authorization_endpoint"字段的值。
仅访问方式为“编程访问和管理控制台访问”时需要填写。
授权请求Scope
授权请求信息范围。默认必选openid。
仅访问方式为“编程访问和管理控制台访问”时需要填写。
枚举值:
- openid
- profile
授权请求Response type
授权请求返回参数类型,默认必选id_token。
仅访问方式为“编程访问和管理控制台访问”时需要填写。
授权请求Response mode
授权请求返回模式,form_post和fragment两种可选模式,推荐选择form_post模式。
仅访问方式为“编程访问和管理控制台访问”时需要填写。
签名公钥
验证OpenID Connect身份提供商ID Token签名的公钥。为了您的账号安全,建议您定期轮换签名公钥。
- 单击“确定”,完成配置。
联邦用户登录验证
- 检查登录链接是否可以跳转到企业的IdP服务器提供的登录界面。
- 在IAM控制台的“身份提供商”页面,单击“操作”列的“修改”,进入“修改身份提供商”页面。
- 在修改身份提供商页面,单击登录链接右侧的“复制”,并在浏览器中打开。
- 检查浏览器页面是否跳转到IdP登录界面,如果跳转失败,请确认身份提供商配置信息以及企业IdP服务器配置是否正确。
- 输入企业管理系统的用户名和密码验证是否可以登录到本系统。
- 登录成功:表示单点登录验证成功,您可以将该地址以链接的形式配置到企业网站。
- 登录失败:请检查您的用户名和密码。
此时联邦用户只能访问系统,没有任何权限。为联邦用户配置权限需要配置身份转换规则,具体说明请参见:步骤2:配置身份转换规则。
相关操作
- 查看身份提供商信息:在身份提供商列表中,单击“查看”,可查看身份提供商的基本信息、元数据详情、身份转换规则。
单击“查看身份提供商”页面下方的“修改身份提供商”,可直接进入“修改身份提供商”界面。
- 修改身份提供商信息:在身份提供商列表中,单击“修改”进入“修改身份提供商”界面。可修改身份提供商的状态(“启用”或“停用”)、描述信息、元数据信息和身份转换规则。
- 删除身份提供商:在身份提供商列表中,单击“删除”,删除对应的身份提供商。
后续任务
- 配置身份转换规则,建立IdP中的用户与IAM中用户组间的映射关系,使得IdP用户获得用户组对应的操作权限。身份转换规则详情请参见:步骤2:配置身份转换规则。
- 在企业管理系统中配置单点登录,使企业用户可以通过企业管理系统中的登录入口直接访问本系统,方法请参考:步骤3:配置企业管理系统登录入口。