本文为您介绍如何在IDaaS中配置华为云用户单点登录。使用SSO,您的企业成员可以使用企业账号单点登录华为云,这一过程在华为云中称为联邦身份认证。
操作步骤
一、创建应用
登录IDaaS管理控制台。
选择IDaaS实例并在操作区域下方单击访问控制台。
前往,搜索华为云SSO。单击添加应用。
确认应用名称,即可立即添加。
二、配置应用单点登录
添加应用后,将自动跳转到应用单点登录配置页,您将在此处进行配置。
输入初始化登录地址(该地址在下文步骤三中获取)。
选择应用账号名属性,用户进行单点登录时,将以该字段作为主键,对应至华为云中的IAM用户,从而实现在华为云中的登录。
如果仅用于测试,建议授权范围选择全员可访问 ,以便跳过为IDaaS账号分配权限的步骤。
在应用配置信息中,下载IdP 元数据,保存到电脑中。此文件用于建立华为云对IDaaS的信任关系。
三、在华为云中配置用户SSO
登录华为云IAM控制台。
在左侧导航栏中,单击身份提供商。
单击创建身份提供商。
填写名称,并单击确定。
单击修改身份提供商,或在身份提供商列表页面中单击修改。
在元数据配置单击添加文件,选择在步骤二中在IDaaS下载的IdP 元数据,并单击上传文件,确认元数据配置(一般无需修改)。
前往用户页面,将IAM用户登录链接复制出来,回填到上文步骤二中IDaaS应用详情中的初始化登录地址。完成后,单击保存按钮,完成身份提供商的创建。
四、验证SSO
您已经可以开始登录华为云SSO。有如下两种发起模式。
使用已拥有华为云SSO应用权限的IDaaS账户,登录到IDaaS应用门户页,单击页面上的华为云SSO图标,即可发起单点登录,以联邦用户的身份登录至华为云。
使用匿名浏览器,打开华为云登录页,单击更多账号登录,选择企业联邦用户。
输入原华为云账号名/租户名 ,选择身份提供商,并单击前往登录。
单击后,如果您已登录IDaaS应用门户,则可以联邦用户的身份直接登录至华为云;否则将跳转至IDaaS的登录页,在IDaaS中完成登录后自动完成华为云的登录。
五、配置身份转换规则
在以联邦用户的身份单点登录到华为云后,用户在华为云中的用户名默认为“FederationUser”,且联邦用户仅能访问华为云,没有任何权限。您可以在华为云IAM控制台配置身份转换规则,实现:
企业管理系统用户在华为云中显示不同的用户名。
赋予企业管理系统用户使用华为云资源的权限。
详情请查看华为云官方文档:配置身份转换规则。