更新时间:2024-02-21 GMT+08:00

更改身份源

IAM身份中心支持基于SAML协议的单点登录,如果您已经有自己的企业管理系统,同时您的用户需要使用您账号内的云服务资源,您可以使用IAM的身份提供商功能,实现用户使用企业管理系统账号单点登录华为云,这一过程称之为联邦身份认证。关于IAM身份提供商的具体信息请参见:身份提供商

IAM身份中心支持连接到基于SAML 2.0协议的外部身份提供商系统,例如微软AD和Okta,具体实现如下:
  • 允许管理员将IAM身份中心使用的SAML 2.0协议连接到外部身份提供商系统。
  • 支持通过SCIM协议自动化用户预置过程。管理员可以在外部身份提供商处管理用户,用户信息会自动同步到IAM身份中心,无需人工干预。
  • 外部身份提供商用户可使用现有账号密码登录其门户,然后自动跳转至华为云来访问华为云账号下的资源,无需IAM身份中心管理员重新分配密码。

华为云当前支持两种身份源:IAM身份中心和外部身份提供商。在IAM身份中心可以切换两种身份源。

更改为外部身份提供商

  1. 登录华为云控制台
  2. 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
  3. 单击左侧导航栏的“设置”,进入设置页面。
  4. 在“身份源”页签中单击“更改为外部身份提供商”,进入“更改身份源”页面。

    图1 更改为外部身份提供商

  5. 在“提供商配置”页签中配置相关信息,配置完成,单击“下一步”。

    • 服务提供商(SP)信息:

      单击“下载元数据文件”,下载元数据文件并将其保存在您的系统上。您的外部身份提供商需要上传IAM身份中心SAML元数据文件。

    • 身份提供商(IdP)信息:
      • 在“IdP SAML元数据”后单击“添加文件”,上传您从外部身份提供商下载的SAML元数据文件。此元数据文件包含用于信任从IdP发送消息的证书。
      • 如您没有IdP SAML元数据文件,也可以输入IdP登录URL、IdP发布者URL和上传IdP证书。
    图2 提供商配置

  6. 进入“配置确认”页签,请仔细阅读更改身份源会造成的影响,如您已知晓并接受当前操作会造成的影响,请在“更改确认”区域下方的确认框中输入“确认”,然后单击页面右下角的“确定”,身份源更改为外部身份提供商。

    图3 确认更改身份源

    身份源切换为外部身份提供商后,系统将支持SAML 2.0的身份验证方式,以及SCIM自动和手动的预置方法切换,具体请参见外部身份提供商配置

更改为IAM身份中心

  1. 登录华为云控制台
  2. 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
  3. 单击左侧导航栏的“设置”,进入设置页面。
  4. 在“身份源”页签中单击“更改为IAM身份中心”,进入“更改身份源”页面。

    图4 更改为IAM身份中心

  5. 请仔细阅读更改身份源会造成的影响,如您已知晓并接受当前操作会造成的影响,请在“更改确认”区域下方的确认框中输入“确认”,然后单击页面右下角的“确定”,身份源更改为IAM身份中心。

    图5 确认更改身份源