本文档介绍如何配置阿里云IDaaS与华为云IAM身份中心的单点登录(SSO)集成,实现用户通过阿里云IDaaS统一身份认证访问华为云IAM身份中心服务,并完成IDaaS账户向华为云 IAM 身份中心平台的账户自动化同步。
前提条件
已拥有阿里云IDaaS实例的管理员权限。
已拥有华为云IAM身份中心的管理员权限。
已开通华为云IAM身份中心服务。
单点登录配置步骤
一、在 IDaaS 侧配置
登录IDaaS管理控制台,在左侧导航栏中,选择 EIAM 云身份服务 。选择对应的 IDaaS 实例,单击操作列的访问控制台。
单击,搜索 IAM身份中心,单击添加应用。
确认应用名称后,单击立即添加。
在页签配置华为云IAM身份中心。
单点登录配置:启用单点登录。
IAM身份中心 ACS URL:填写华为云IAM 身份中心提供的 ACS URL,即IAM身份中心断言使用者服务URL。
IAM身份中心 Entity ID:填写华为云IAM 身份中心提供的 Entity ID,即IAM身份中心发布者URL。
应用账户:选择应用账户。
授权范围:根据实际需求选择手动授权或全员可访问。
在应用配置信息栏下载IdP 元数据,用于华为云 IAM 身份中心的身份提供商信息使用。
在应用账户下添加访问用户信息。
重要确保 IDaaS 应用的用户名与华为云 IAM 身份中心的用户名一致。
二、在 IAM 身份中心侧配置
登录华为云IAM身份中心,单击左侧导航栏的设置,进入设置页面。
在身份源页签中,单击更改为外部身份提供商,进入更改身份源页面。
获取服务提供商信息IAM身份中心断言使用者服务(ACS URL) 和 IAM身份中心发布者URL(Entity ID),分别填入 IDaaS 中的华为IAM身份中心应用。
身份提供商(IdP)信息:上传在 IDaaS 下载的IdP 元数据文件。上传完成后,单击下一步。
确认身份源信息。输入确认后,单击右下角确定。
创建用户并授权。
单击左侧用户管理菜单栏,点击右上角创建用户按钮。输入用户信息,并将用户分配至用户组。
单击左侧,给用户授权。
单击目标账户名称,跳转到基本信息页面,单击分配用户/组。
勾选需要单点的账户名称,单击下一步。
勾选权限集名称,单击下一步。
确认用户权限集后,单击确定。权限配置成功。
三、验证 SSO
完成 SSO 登录配置后,您可以从 IDaaS 用户门户侧发起 SSO 登录。
登录 IDaaS 用户门户。
单击访问华为云IAM身份中心应用。
系统将自动跳转至华为云IAM身份中心且无需再次认证。
SCIM 同步配置步骤
一、在 IAM 身份中心配置
在导航栏,单击SCIM自动按钮。
系统将自动生成SCIM端点和访问令牌。
重要此密钥只显示一次,请复制后妥善保存,用于填写IDaaS侧Bearer Token密钥。
二、在 IDaaS 侧配置
在华为云IAM身份中心应用下切换至账户同步页签,开启IDaaS同步到应用并设置同步范围。
说明所选同步范围的账户邮箱不能为空。
填写密钥信息。在基础配置页签,填写步骤一获取的SCIM 端点和Bearer Token。
操作调用。您可以选择性地订阅关注的变更事件,获取即时推送。当IDaaS同步范围内的用户发生对应变更时,系统将自动触发同步并实时更新至应用中。
说明由于应用的 SCIM 接口未完全遵循标准协议实现,用户组详情接口无法返回组成员信息,因此在移除用户组成员时,不支持通过同步方式完成操作。
字段映射。用于展示和编辑SCIM同步过程中的字段映射关系,您可以根据实际需求进行更改。
映射标识。映射标识是SCIM filter查询可用的字段列表,一般与协议标准及业务字段相互对应,通常无需修改。
测试连接。在配置完成保存后,建议您通过测试连接功能检查配置是否正确。
一键推送。管理员可以通过一键推送功能,将在同步范围内的账户一次性全部推送到腾讯云集团账号管理。
三、验证同步
IDaaS侧验证。
单击一键推送后,同步范围内账户会同步至华为云IAM身份中心。如果推送成功后系统会提示任务成功,您可以前往中查看日志。
华为云IAM身份中心验证。
在IAM身份中心左侧导航栏,用户管理查看IDaaS账户同步的目标账户,创建方式列会显示自动。
