更改身份源

IAM身份中心支持基于SAML协议的单点登录，如果您已经有自己的企业管理系统，同时您的用户需要使用您账号内的云服务资源，您可以使用IAM的身份提供商功能，实现用户使用企业管理系统账号单点登录华为云，这一过程称之为联邦身份认证。关于IAM身份提供商的具体信息请参见：身份提供商。

IAM身份中心支持连接到基于SAML 2.0协议的外部身份提供商系统，例如微软AD和Okta，具体实现如下：

允许管理员将IAM身份中心使用的SAML 2.0协议连接到外部身份提供商系统。
支持通过SCIM协议自动化用户预置过程。管理员可以在外部身份提供商处管理用户，用户信息会自动同步到IAM身份中心，无需人工干预。
外部身份提供商用户可使用现有账号密码登录其门户，然后自动跳转至华为云来访问华为云账号下的资源，无需IAM身份中心管理员重新分配密码。

华为云当前支持两种身份源：IAM身份中心和外部身份提供商。在IAM身份中心可以切换两种身份源。

更改为外部身份提供商

登录华为云控制台。
单击页面左上角的，选择“管理与监管 > IAM身份中心”，进入“IAM身份中心”页面。
单击左侧导航栏的“设置”，进入设置页面。
在“身份源”页签中单击“更改为外部身份提供商”，进入“更改身份源”页面。

图1 更改为外部身份提供商
在“提供商配置”页签中配置相关信息，配置完成，单击“下一步”。
- 服务提供商（SP）信息：
  单击“下载元数据文件”，下载元数据文件并将其保存在您的系统上。您的外部身份提供商需要上传IAM身份中心SAML元数据文件。
- 身份提供商（IdP）信息：
  - 在“IdP SAML元数据”后单击“添加文件”，上传您从外部身份提供商下载的SAML元数据文件。此元数据文件包含用于信任从IdP发送消息的证书。
  - 如您没有IdP SAML元数据文件，也可以输入IdP登录URL、IdP发布者URL和上传IdP证书。
图2 提供商配置
进入“配置确认”页签，请仔细阅读更改身份源会造成的影响，如您已知晓并接受当前操作会造成的影响，请在“更改确认”区域下方的确认框中输入“确认”，然后单击页面右下角的“确定”，身份源更改为外部身份提供商。

图3 确认更改身份源

身份源切换为外部身份提供商后，系统将支持SAML 2.0的身份验证方式，以及SCIM自动和手动的预置方法切换，具体请参见外部身份提供商配置。

更改为IAM身份中心

登录华为云控制台。
单击页面左上角的，选择“管理与监管 > IAM身份中心”，进入“IAM身份中心”页面。
单击左侧导航栏的“设置”，进入设置页面。
在“身份源”页签中单击“更改为IAM身份中心”，进入“更改身份源”页面。

图4 更改为IAM身份中心
请仔细阅读更改身份源会造成的影响，如您已知晓并接受当前操作会造成的影响，请在“更改确认”区域下方的确认框中输入“确认”，然后单击页面右下角的“确定”，身份源更改为IAM身份中心。

图5 确认更改身份源