更新时间:2024-02-21 GMT+08:00
更改身份源
IAM身份中心支持基于SAML协议的单点登录,如果您已经有自己的企业管理系统,同时您的用户需要使用您账号内的云服务资源,您可以使用IAM的身份提供商功能,实现用户使用企业管理系统账号单点登录华为云,这一过程称之为联邦身份认证。关于IAM身份提供商的具体信息请参见:身份提供商。
IAM身份中心支持连接到基于SAML 2.0协议的外部身份提供商系统,例如微软AD和Okta,具体实现如下:
- 允许管理员将IAM身份中心使用的SAML 2.0协议连接到外部身份提供商系统。
- 支持通过SCIM协议自动化用户预置过程。管理员可以在外部身份提供商处管理用户,用户信息会自动同步到IAM身份中心,无需人工干预。
- 外部身份提供商用户可使用现有账号密码登录其门户,然后自动跳转至华为云来访问华为云账号下的资源,无需IAM身份中心管理员重新分配密码。
华为云当前支持两种身份源:IAM身份中心和外部身份提供商。在IAM身份中心可以切换两种身份源。
更改为外部身份提供商
- 登录华为云控制台。
- 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
- 单击左侧导航栏的“设置”,进入设置页面。
- 在“身份源”页签中单击“更改为外部身份提供商”,进入“更改身份源”页面。
图1 更改为外部身份提供商
- 在“提供商配置”页签中配置相关信息,配置完成,单击“下一步”。
- 服务提供商(SP)信息:
单击“下载元数据文件”,下载元数据文件并将其保存在您的系统上。您的外部身份提供商需要上传IAM身份中心SAML元数据文件。
- 身份提供商(IdP)信息:
- 在“IdP SAML元数据”后单击“添加文件”,上传您从外部身份提供商下载的SAML元数据文件。此元数据文件包含用于信任从IdP发送消息的证书。
- 如您没有IdP SAML元数据文件,也可以输入IdP登录URL、IdP发布者URL和上传IdP证书。
图2 提供商配置
- 服务提供商(SP)信息:
- 进入“配置确认”页签,请仔细阅读更改身份源会造成的影响,如您已知晓并接受当前操作会造成的影响,请在“更改确认”区域下方的确认框中输入“确认”,然后单击页面右下角的“确定”,身份源更改为外部身份提供商。
图3 确认更改身份源
身份源切换为外部身份提供商后,系统将支持SAML 2.0的身份验证方式,以及SCIM自动和手动的预置方法切换,具体请参见外部身份提供商配置。
更改为IAM身份中心
- 登录华为云控制台。
- 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
- 单击左侧导航栏的“设置”,进入设置页面。
- 在“身份源”页签中单击“更改为IAM身份中心”,进入“更改身份源”页面。
图4 更改为IAM身份中心
- 请仔细阅读更改身份源会造成的影响,如您已知晓并接受当前操作会造成的影响,请在“更改确认”区域下方的确认框中输入“确认”,然后单击页面右下角的“确定”,身份源更改为IAM身份中心。
图5 确认更改身份源
父主题: 管理身份源