1. IDaaS平台添加华为云应用
1.1 用管理员账号登录飞天云信IDaaS管理平台。
1.2 点击【应用管理】-【企业应用列表】查看自己的所有应用。
1.3 点击【添加应用】按钮,选择【集成应用】,点击【进入应用市场】(或者点击【应用管理】-【应用市场】),选择【华为云】,填入应用名称后,点击【下一步】,在通用配置处按要求填入信息后,点击【确定】,即可在企业应用列表查看新添加的应用。
字段说明:
| 字段 | 字段说明 |
| 集成应用名称 | 通常填写为华为云,也可自定义。此名称会展示在你的应用列表。 |
| 认证地址 | 可随意填写,配置完成后用户可复制该链接直接登录到华为云控制台。 |
| 用户标识 | 访问应用时充当用户标识的属性。 |
| 登录地址 | 华为云控制台创建“身份提供商”后,可以查看登录地址。 |
| App Secret | 系统自动生成 |
| 安全等级 | 该应用未关联任何策略时,将智能匹配对应安全等级的认证策略,具体策略配置详情可在【认证管理】-【自适应认证】页面查看。 |
提示:“登录地址”需要在华为云平台创建身份提供商后查看,即“登录链接”。
点击【账号】-【统一身份认证】,然后点击【身份提供商】,创建身份提供商后,在操作列点击【查看】,身份提供商的【基本信息】里包含“登录链接”。
1.4 在企业应用列表点击应用图标,切换到【访问授权】标签页,添加允许用户访问权限。
2. 华为云系统配置
前提条件:1.管理员拥有华为云账号;2.管理员拥有IDaaS企业访问权限。
2.1 以管理员身份登录华为云平台,鼠标停留在右上角的账号,点击【统一身份认证】进入统一身份认证服务控制台。
2.2 创建用户组:点击左侧边栏【用户组】,然后点击右上角的【创建用户组】按钮,输入“用户组名称”,点击【确定】按钮。
2.3 为用户组授权:添加用户组成功后,页面跳转到用户组列表,点击刚添加的用户组操作栏的【授权】按钮,跳转到选择授权策略页面。
在搜索框输入“IAM”,选择“IAM ReadOnlyAccess”策略,点击【下一步】按钮。
授权范围选择“所有资源”,点击【确定】按钮,完成授权设置。
2.4 添加身份提供商:点击左侧边栏【身份提供商】,然后点击右上角的【创建身份提供商】按钮,进入创建身份提供商页面,填写“名称”后,点击【确定】按钮,完成身份提供商创建。
2.5 修改身份提供商:在身份提供商列表,点击操作栏的【修改】按钮,进入“修改身份提供商”页面。开启用户SSO,在元数据配置处点击【添加文件】选择华为云应用的SAML元数据文件,然后点击【上传文件】按钮。
配置【身份转换规则】,参考华为云身份转换规则配置,规则示例:
[
{
"remote": [
{
"type": "username"
},
{
"any_one_of": ["fang"],
"type": "username"
}
],
"local": [
{
"user": {
"name": "{0}"
}
},
{
"group": {
"name": "IAM"
}
}
]
}
]
点击【确定】按钮,完成身份提供商修改。
3. 体验单点登录
3.1 登录用户门户系统。
3.2 登录成功后,在菜单栏【应用中心】处,可以看到1.3添加的华为云应用,点击应用图标可以单点登录到华为云控制台。
提示:需要按照关联策略中的规则,认证通过后登录进其应用系统。
