步骤3:配置身份转换规则
企业IdP用户登录华为云后,华为云会根据身份转换规则,决定联邦用户的身份和拥有的权限。身份转换规则需要用户根据自身场景自定义,若不对身份转换规则进行配置,则联邦用户在华为云中的用户名默认为“FederationUser”,权限默认仅能访问华为云,没有其他任何权限。
您可对联邦用户的以下特征进行配置:
- 用户名:企业IdP用户在华为云中显示不同的用户名。
- 用户权限:赋予企业管理系统用户使用华为云资源的权限。由于华为云权限的最小授权单位是用户组,因此需要建立联邦用户与IAM用户组的映射关系,从而使得联邦用户获得对应用户组的权限,使用华为云上的资源。配置时请确保已创建需要映射的IAM用户组,创建IAM用户组并授权请参见:创建用户组并授权。
- 修改身份转换规则后,对已登录的联邦用户不会即时生效,需重新登录后新规则才可生效。
- 如果需要修改用户的权限,修改用户所属用户组的权限即可,修改后,需要重启企业IdP使设置生效。
前提条件
- 企业管理员在华为云上注册了可用的账号,并已在IAM中创建用户组并授权,具体方法请参见:创建用户组并授权。
- 已在本系统创建身份提供商,如何创建身份提供商请参见:步骤1:创建身份提供商。
操作步骤
您可以使用“创建规则”,IAM会将您填写的身份转换规则参数转换成JSON语言;也可以单击“编辑规则”直接编写JSON语言,编辑身份转换规则的详细说明和示例请参见:身份转换规则详细说明。
- 创建规则
- 管理员在IAM控制台的左侧导航窗格中,单击“身份提供商”。
- 在身份提供商列表中,选择您创建的身份提供商,单击“修改”。
- 在“身份转换规则”区域单击“创建规则”。
图1 创建规则-1
图2 创建规则-2
表1 参数说明 参数名
描述
说明
用户名
联邦用户在华为云中显示的用户名,以下简称“联邦用户名”。
为了区分华为云的用户与联邦用户,建议此处配置用户名为“FederationUser-IdP_XXX”。其中“IdP”为身份提供商名称,如ADFS、Shibboleth等,用于区分不同身份提供商下的联邦用户;“XXX”为自定义的具体名称。
须知:- 同一身份提供商的联邦用户名需要确保其唯一。如果同一身份提供商内出现重复的联邦用户名,则重名的联邦用户在华为云中对应同一个IAM用户。
- 用户名能包含大小写字母、空格、数字或特殊字符(-_.)且不能以数字开头。不能包含”、\"、\\、\n、\r等特殊字符。
用户组
联邦用户在华为云中所属的用户组。
联邦用户拥有所属用户组的权限。可以选择已创建的用户组。
本规则生效条件
联邦用户拥有所选用户组权限的生效条件。
当满足该生效条件时,联邦用户具有所属用户组的权限;当不满足生效条件时,该规则不生效,且不满足生效条件的用户无法访问华为云。一个身份转换规则最多可以创建10条生效条件。
“属性”、“值”为企业IdP通过SAML断言返回给华为云用户信息;“条件”可选择:empty、any_one_of、not_any_of,详细说明请参见:身份转换规则详细说明。
说明:- 一个规则可以创建多条生效条件,所有生效条件均满足,此规则才可以生效。
- 一个身份提供商可以创建多条规则,规则共同作用。如果所有规则对某个联邦用户都不生效,那么该联邦用户禁止访问华为云。
示例:为企业管理系统管理员设定规则。
- 用户名:FederationUser-IdP_admin
- 用户组:“admin”
- 生效条件:“属性”:“_NAMEID_”;“条件”:“any_one_of”;“值”:“000000001”。
表示仅用户ID为000000001的用户在华为云中映射的IAM用户名为FederationUser-IdP_admin、具有“admin”用户组的权限。
- 在“创建规则”页面,单击“确定”。
- 在“修改身份提供商”页面,单击“确定”,使配置生效。
- 编辑规则
- 管理员登录华为云,进入IAM控制台,并在左侧导航窗格中,单击“身份提供商”。
- 在身份提供商列表中,选择您创建的身份提供商,单击“修改”。
图3 修改身份提供商
- 在“身份转换规则”区域单击“编辑规则”。
图4 编辑身份转换规则
- 在编辑框内输入JSON格式的身份转换规则,具体说明请参见:身份转换规则详细说明。
- 单击“校验规则”,对已编辑的规则进行语法校验。
- 界面提示“规则正确”:在“编辑规则”页面,单击“确定”;在“修改身份提供商”页面,单击“确定”,使配置生效。
界面提示“JSON文件格式不完整”:请修改JSON语句,或单击“取消”,取消本次修改内容。
相关操作
查看规则:在“身份转换规则”区域单击“查看规则”。新创建的身份转换规则在JSON文件中显示。JSON文件内容说明请参考:身份转换规则详细说明。
