文档

华为云 SSO

更新时间:

本文为您介绍如何在 IDaaS 中配置华为云用户单点登录。使用 SSO,您的企业成员可以使用企业账号单点登录华为云,这一过程在华为云中称为联邦身份认证。

操作步骤

一、创建应用

  1. 登录IDaaS管理控制台

  2. 前往 应用-添加应用-应用市场,搜索到华为云用户 SSO 应用模板。点击 添加应用

  1. 确认应用名称,即可完成添加。

二、配置应用单点登录

  1. 添加应用后,将自动跳转到应用单点登录配置页,您将在此处进行配置。

  1. 输入初始化登录地址(该地址在下文第三步中获取)。

选择应用账号名属性,用户进行单点登录时,将以该字段作为主键,对应至华为云中的 IAM 用户,从而实现在华为云中的登录。

如果仅用于测试,建议 授权范围 选择 全员可访问 ,以便跳过为 IDaaS 账号分配权限的步骤。

  1. 应用配置信息 中,下载 IdP 元数据,保存到电脑中。此文件用于建立华为云对 IDaaS 的信任关系。

三、在华为云中配置用户 SSO

  1. 登录华为云 IAM 控制台

  2. 在左侧导航栏中,单击 身份提供商

  3. 点击 创建身份提供商

  1. 填写名称,并点击确定。

  1. 点击 修改身份提供商,或在 身份提供商列表 页面中点击 修改

  1. 元数据配置 点击添加文件,选择在步骤二中在 IDaaS 下载的 IdP 元数据,并点击上传文件,确认元数据配置(一般无需修改)。复制 登录链接,回填到上文第二步中 IDaaS 应用详情中的 初始化登录地址。完成后,点击确定按钮,完成身份提供商的创建。

四、尝试SSO

您已经可以开始华为云用户 SSO。有如下两种发起模式。

  1. 使用已拥有华为云用户 SSO 应用权限的 IDaaS 账户,登录到 IDaaS 应用门户页,点击页面上的图标,即可发起单点登录,以联邦用户的身份登录至华为云。

  1. 使用匿名浏览器,打开华为云登录页,点击下方 企业联邦用户

a

  1. 输入 原华为云账号名/租户名 ,选择身份提供商,并点击 前往登录 按钮。

  1. 点击后,如果您已登录 IDaaS 应用门户,则可以联邦用户的身份直接登录至华为云;否则将跳转至 IDaaS 的登录页,在 IDaaS 中完成登录后自动完成华为云的登录。

五、配置身份转换规则

在以联邦用户的身份单点登录到华为云后,用户在华为云中的用户名默认为“FederationUser”,且联邦用户仅能访问华为云,没有任何权限。您可以在华为云 IAM 控制台配置身份转换规则,实现:

  • 企业管理系统用户在华为云中显示不同的用户名。

  • 赋予企业管理系统用户使用华为云资源的权限。

详情请查看华为云官方文档:《步骤2:配置身份转换规则》