文档首页> > 用户指南> 身份提供商> 联邦身份认证的基本流程和配置步骤

联邦身份认证的基本流程和配置步骤

分享
更新时间: 2019/07/13 19:41

本章为您介绍IdP与华为云联邦认证的内部流程以及联邦认证的配置流程,并为您提供常见的企业IdP与华为云对接的示例。

说明:

企业IdP服务器的时间需要和华为云的时间一致,即都使用世界标准时间(Universal Time Coordinated),否则会导致联邦身份认证失败。

注意事项

  • IAM支持基于SAML2.0的联邦身份认证,因此IdP必须支持SAML2.0。
  • 由于联邦用户是企业IdP系统映射到华为云的虚拟用户,不能绑定邮箱和手册号码,因此如果账号开启了敏感操作(登录保护或是操作保护),其对联邦用户不生效。也就是说,联邦用户在执行敏感操作时,不需要二次验证。
  • 由于联邦用户是企业IdP系统映射到华为云的虚拟用户,无法创建永久访问密钥(AK/SK),支持创建临时访问密钥(AK/SK 和 SecurityToken),获取临时访问密钥的接口请参考:获取临时AK/SK和securitytoken。如需使用永久AK/SK,只能由账号或是实体IAM用户创建密钥,共享给联邦用户。由于密钥表示用户所拥有的权限,因此建议由与联邦用户同在一个用户组的实体IAM用户创建并分享密钥。

IdP与华为云的联邦认证流程

图1为企业IdP与华为云的联邦认证流程。

图1 联邦认证流程

图1中可知,联邦认证的步骤为:

  1. 用户在浏览器中打开从华为云IAM上获取到的登录链接,浏览器向华为云发起单点登录请求;或通过在企业管理系统中设置的华为云登录入口,向华为云发起单点登录请求。
  2. 华为云根据登录链接中携带的信息,查找IAM身份提供商中对应的Metadata文件,构建SAML Request,发送给浏览器。
  3. 浏览器响应后,转发SAML Request给企业IdP。
  4. 企业IdP推送登录页面给用户后,用户在浏览器中输入用户名和密码,企业IdP完成用户身份认证后,构建携带用户信息的SAML断言,向浏览器发送SAML Response。
  5. 浏览器响应后转发SAML Response给华为云。
  6. 华为云从SAML Response中取出断言,并根据已配置的身份转换规则映射到具体的IAM用户组,颁发Token。
  7. 用户完成单点登录,根据权限访问华为云。

联邦身份认证的配置步骤

建立Idp与华为云的联邦身份认证关系,需要完成以下步骤的配置。

  1. 创建身份提供商:配置IdP,下载IdP及华为云的元数据文件(Metadata文件),并交换两边的数据文件,建立华为云与IdP的信任关系,如图图2所示。
    图2 交换Metadata文件模型
  2. 配置身份转换规则:通过配置身份转换规则,将IdP中的用户、用户组及其访问权限映射到华为云,用户转换模型如图3所示。
    图3 用户转换模型
  3. 配置企业管理系统登录入口:将华为云的访问入口配置到企业管理系统中,用户可通过登录企业系统直接访问华为云,如图4所示。
    图4 配置单点登录模型

与华为云集成的第三方IdP解决方案提供商示例

华为云支持与第三方IdP进行标准LDAP协议的联邦认证对接,由于不同的企业IdP系统需要进行的配置存在较大差异,本章中对于企业IdP的配置不做详述,具体操作请参考IdP提供商提供的帮助文档。常见IdP与华为云建立联邦认证的操作,请参见:

如果您喜欢这篇文档,您还可以:

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区