本文为您介绍如何在 IDaaS 中配置华为云用户单点登录。使用 SSO，您的企业成员可以使用企业账号单点登录华为云，这一过程在华为云中称为联邦身份认证。

操作步骤

一、创建应用

1. 登录IDaaS管理控制台

2. 前往 应用-添加应用-应用市场，搜索到华为云用户 SSO 应用模板。点击 添加应用。

1. 确认应用名称，即可完成添加。

二、配置应用单点登录

1. 添加应用后，将自动跳转到应用单点登录配置页，您将在此处进行配置。

2. 输入初始化登录地址（该地址在下文第三步中获取）。

选择应用账号名属性，用户进行单点登录时，将以该字段作为主键，对应至华为云中的 IAM 用户，从而实现在华为云中的登录。

如果仅用于测试，建议 授权范围 选择 全员可访问 ，以便跳过为 IDaaS 账号分配权限的步骤。

3. 在 应用配置信息 中，下载 IdP 元数据，保存到电脑中。此文件用于建立华为云对 IDaaS 的信任关系。

三、在华为云中配置用户 SSO

1. 登录华为云 IAM 控制台。

2. 在左侧导航栏中，单击 身份提供商。

3. 点击 创建身份提供商。

4. 填写名称，并点击确定。

5. 点击 修改身份提供商，或在 身份提供商列表 页面中点击 修改。

6. 在 元数据配置 点击添加文件，选择在步骤二中在 IDaaS 下载的 IdP 元数据，并点击上传文件，确认元数据配置（一般无需修改）。复制 登录链接，回填到上文第二步中 IDaaS 应用详情中的 初始化登录地址。完成后，点击确定按钮，完成身份提供商的创建。

四、尝试SSO

您已经可以开始华为云用户 SSO。有如下两种发起模式。

1. 使用已拥有华为云用户 SSO 应用权限的 IDaaS 账户，登录到 IDaaS 应用门户页，点击页面上的图标，即可发起单点登录，以联邦用户的身份登录至华为云。

2. 使用匿名浏览器，打开华为云登录页，点击下方 企业联邦用户。

3. 输入 原华为云账号名/租户名 ，选择身份提供商，并点击 前往登录 按钮。

4. 点击后，如果您已登录 IDaaS 应用门户，则可以联邦用户的身份直接登录至华为云；否则将跳转至 IDaaS 的登录页，在 IDaaS 中完成登录后自动完成华为云的登录。

五、配置身份转换规则

在以联邦用户的身份单点登录到华为云后，用户在华为云中的用户名默认为“FederationUser”，且联邦用户仅能访问华为云，没有任何权限。您可以在华为云 IAM 控制台配置身份转换规则，实现：

• 企业管理系统用户在华为云中显示不同的用户名。

• 赋予企业管理系统用户使用华为云资源的权限。

详情请查看华为云官方文档：《步骤2：配置身份转换规则》