更新时间:2022-03-22 GMT+08:00
分享

联邦身份认证配置概述

本章为您介绍基于SAML协议的企业IdP与华为云进行联邦身份认证的内部实现流程和配置步骤,以及常用的企业IdP与华为云对接示例。

请确保您使用的企业IdP支持SAML 2.0协议。

联邦身份认证的配置步骤

建立企业管理系统与华为云的联邦身份认证关系,需要完成以下配置步骤。

  1. 建立互信关系并创建身份提供商:交换华为云与企业IdP的元数据文件,建立信任关系,如图1所示,并在华为云上创建身份提供商。
    图1 交换Metadata文件模型
  2. 在华为云配置身份转换规则:通过配置身份转换规则,将IdP中的用户、用户组及其访问权限映射到华为云,用户转换模型如图2所示。
    图2 用户转换模型
  3. 配置企业管理系统登录入口:将华为云的访问入口配置到企业管理系统中,用户可通过登录企业管理系统直接访问华为云,如图3所示。
    图3 配置单点登录模型

企业管理系统与华为云联邦身份认证交互流程

图4为用户在发起单点登录请求后,企业管理系统与华为云间的交互流程。

图4 联邦身份认证交互流程

为方便您查看交互的请求及断言消息,建议您使用Chrome浏览器并安装插件“SAML Message Decoder”

图4中可知,联邦身份认证的步骤为:

  1. 用户在浏览器中打开创建身份提供商后生成的登录链接,浏览器向华为云发起单点登录请求。
  2. 华为云根据登录链接中携带的信息,查找IAM身份提供商中对应的Metadata文件,构建SAML Request,发送给浏览器。
  3. 浏览器收到请求后,转发SAML Request给企业IdP。
  4. 用户在企业IdP推送的登录页面中输入用户名和密码,企业IdP对用户提供的身份信息进行验证,并构建携带用户信息的SAML断言,向浏览器发送SAML Response。
  5. 浏览器响应后转发SAML Response给华为云。
  6. 华为云从SAML Response中取出断言,并根据已配置的身份转换规则映射到具体的IAM用户组,颁发Token。
  7. 用户完成单点登录,访问华为云。

    断言中要携带签名,否则会导致登录失败。

联邦身份认证配置示例

由于不同的企业IdP的配置存在较大差异,华为云帮助文档对于企业IdP的配置不做详述,具体操作请参考企业IdP的帮助文档。常见IdP与华为云建立联邦身份认证的操作,请参见:

分享:

    相关文档

    相关产品

close