更新时间:2026-07-01 GMT+08:00
分享

在SAML身份提供商中配置依赖方信任并添加声明

当您创建IAM身份提供商和用于SAML访问的信任委托时,实际上是在向华为云提供外部身份提供商的信息,并指定其用户可执行的操作。下一步是使外部身份提供商了解华为云作为服务提供商的身份。这被称为在外部身份提供商与华为云之间配置信任关系。配置信任关系的具体步骤取决于您所使用的外部身份提供商。

许多外部身份提供商允许指定一个URL,他们可从中读取包含依赖方信息和证书的XML文档。
https://auth.huaweicloud.com/authui/v5/saml/metadata.xml
若需使用SAML加密,则URL必须包含华为云分配的SAML身份提供商ID。您可在身份提供商详情页面上查找该ID。以下示例展示了包含身份提供商ID的登录URL。
https://auth.huaweicloud.com/authui/v5/saml/{provider_id}/metadata.xml

如果您使用的外部身份提供商不支持直接指定URL,请从URL下载XML文档,然后将其导入您的外部身份提供商。

在将华为云设置为信任方的外部身份提供商中,您还需要创建相应的声明规则。当外部身份提供商向华为云终端节点发送SAML响应时,该响应包含一个或多个声明的SAML断言。断言包含有关用户及其组织的信息。断言规则将该信息映射到SAML属性中,以确保来自外部身份提供商的SAML身份认证响应包含IAM身份策略用于检查SAML联邦主体权限的必要属性。有关更多信息,请参阅以下主题:

  • 基于SAML协议的信任委托SSO概述章节将讨论如何在IAM策略中使用SAML条件键以及如何使用它们限制SAML联邦身份主体的权限。
  • 为身份验证响应配置SAML断言章节将讨论如何配置包含用户相关信息的SAML声明,这些声明会被封装在SAML断言中,并作为SAML 响应的一部分发送到华为云。此外,需要确保SAML断言中携带华为云IAM策略所需的必要信息,且这些信息必须以华为云能够识别和解析的标准格式提供,以确保在策略评估过程中正确使用。

相关文档