IAM身份中心支持使用跨域身份管理系统（SCIM）v2.0协议将用户和用户组信息从Okta自动配置（同步）到IAM身份中心。您可以使用IAM身份中心生成的SCIM端点和访问令牌在Okta中配置此连接。配置SCIM同步时，您可以在Okta中创建用户属性与IAM身份中心中的命名属性的映射，这会使IAM身份中心和Okta之间的预期属性相匹配。

在配置前，建议您参阅《IAM身份中心用户指南》。

Okta通过SCIM连接到IAM身份中心时支持以下自动配置功能：

• 创建用户——在Okta中分配给IAM身份中心的用户是在IAM身份中心中自动配置的。
• 更新用户属性——可以在IAM身份中心中更新在Okta中分配给IAM身份中心的用户的属性。
• 停用用户——在Okta中从IAM身份中心取消分配的用户时，该用户将在IAM身份中心被禁用。
• 组推送——Okta中的组（及其成员）同步到IAM身份中心。

说明：

为了便于管理，建议您分配和推送组而不是单个用户。

教程目标

本教程讲述如何将Okta和IAM身份中心通过SAML连接。连接后，您将可以使用SCIM从Okta同步用户，管理Okta中的所有用户和组，用户可以通过Okta门户登录。完成配置步骤后，您便可以以Okta用户身份登录并验证对华为云资源的访问权限。

准备工作

在开始配置连接之前，需要确认以下事项：

• 已为每位Okta用户指定名字、姓氏、用户名和显示的名称。
• 每位Okta用户的每个数据属性（如邮件地址或电话号码）只有一个值。任何具有多个值的用户都将无法同步。如果用户的属性中有多个值，请先删除重复的属性，然后再尝试在IAM身份中心中自动配置用户。例如，只能同步一个电话号码属性，因为默认的电话号码属性是“工作电话”，所以即使用户的电话号码是家庭电话号码或移动电话号码，也将使用“工作电话”属性存储其电话号码。
• 如果您更新用户的地址，则必须指定街道地址、城市、区、邮政编码和国家/地区代码值。如果同步时未为Okta用户指定这些值中的任何一个，则不会自动配置该用户（或对用户的更改）。

说明

• 不支持权限和角色属性，也无法将其同步到IAM身份中心。
• 目前不支持使用相同的Okta组进行分配和组推送。要在Okta和IAM身份中心之间保持一致的组成员资格，请创建一个单独的组并将其配置为将组推送到IAM身份中心。

步骤一：从您的Okta账号中获取SAML元数据

1. 登录Okta admin dashboard，在Okta首页左侧导航栏选择“Applications > Applications ”。
2. 单击“Create App Integration”。
3. 选择“SAML 2.0”，单击“Next”。
4. 输入应用的基本信息，如应用名称“HuaweiCloud”，单击“Next”。
5. 在“SAML Signing Certificates”下，单击“Actions”，然后选择“View IdP Metadata”。将打开一个新的浏览器选项卡，显示XML文件的文档树。选择从<md:EntityDescriptor>到</md:EntityDescriptor>的所有XML，将其复制到文本文件。
6. 将文本文件保存为xml。
7. 将Okta admin dashboard保持为打开状态。

----结束

步骤二：将Okta配置为IAM身份中心的身份源

1. 登录华为云控制台。
   
2. 单击页面左上角的列表图标，选择“管理与监管 > IAM身份中心”，进入“IAM身份中心”页面。
3. 单击左侧导航栏的“设置”，进入设置页面。
4. 在“身份源”页签中单击“更改为外部身份提供商”，进入“更改身份源”页面。
       图1-1 更改为外部身份提供商
    

   

5. 在“提供商配置”页签中配置相关信息，配置完成，单击“下一步”。
       服务提供商（SP）信息：
       单击“下载元数据文件”，下载元数据文件并将其保存在您的系统上。您的Okta账号需要上传IAM身份中心SAML元数据文件。
       将以下项目复制到文本文件，以便于访问，后续将会使用到这些值：
      −    IAM身份中心断言使用者服务 (ACS) URL
      −    IAM身份中心发布者URL
       身份提供商（IdP）信息：
       在“IdP SAML元数据”后单击“添加文件”，上传步骤一中您从Okta下载并编辑的名为metadata.xml的SAML元数据文件。此元数据文件包含用于信任从IdP发送消息的证书。
       图1-2 提供商配置
    

   

6. 进入“配置确认”页签，请仔细阅读更改身份源会造成的影响，如您已知晓并接受当前操作会造成的影响，请在“更改确认”区域下方的确认框中输入“确认”，然后单击页面右下角的“确定”，身份源更改为外部身份提供商。
       图1-3 确认更改身份源
    

   

7. 保持华为云控制台处于打开状态，返回Okta admin dashboard。
8. 选择IAM身份中心应用程序的“Sign On”选项，然后单击“Edit”。
9. 在高级登录设置下，输入以下内容：
       在ACS URL中，输入您复制的IAM身份中心断言使用者服务 (ACS) URL值。
       在发布者URL中，输入您复制的IAM身份中心发布者URL值。
       在应用程序用户名格式中，选择“Okta username”。您可以选择其他选项，确保您选择的值对每个用户来说都是唯一的。
10. 单击“Save”。
    现在，您可以在IAM身份中心中自动配置Okta的用户了。保持Okta admin dashboard打开状态，然后返回IAM身份中心控制台进行下一步。

----结束

步骤三：自动配置Okta的用户

1. 登录华为云控制台。
2. 单击页面左上角的列表图标，选择“管理与监管 > IAM身份中心”，进入“IAM身份中心”页面。
3. 单击左侧导航栏的“设置”，进入“设置”页面。
4. 在“身份源”页签中选择预置方法为“SCIM自动”，单击“应用”。
       图 启用SCIM自动配置
    

   

5. 在弹出的入站自动配置对话框中，复制“SCIM端点”和“访问令牌”两个信息。在配置身份提供商（IdP）并创建信任关系时需要用到此信息。
6. 访问令牌的信息仅在此弹窗中显示一次，后续无法再次查看，但是您可以随时生成新的令牌，具体请参见生成/删除访问令牌。
       图 入站自动配置信息
    

   

7. 单击“关闭”。
8. 返回Okta admin dashboard，找到IAM身份中心应用程序。
9. 在IAM身份中心应用程序页面上，单击“Provisioning”，然后在左侧导航栏的“Settings”下单击“Integration”。
10. 单击“Edit”，然后勾选“Enable API integration”以启用配置。
11. 使用您在本步骤中从IAM身份中心复制的“SCIM端点”和“访问令牌”两个信息，配置Okta：
        在基本URL字段，输入SCIM端点值。确保删除URL末尾的尾部正斜杠。
        在API令牌字段，输入访问令牌值。
12. 选择“Test API Credentials”以验证输入的凭证是否有效。
         将出现XXX验证成功！消息。
13. 单击“Save”。在“Settings”区域，单击“Integration”。
14. 在 “Settings” 下，单击 “To App”，然后勾选要启用的每项“Provisioning to App”功能对应的“Enable”。请勾选所有选项。
15. 单击“Save”。

现在，您可以将来自Okta的用户与IAM身份中心同步了。

----结束

步骤四：将来自Okta的用户与IAM身份中心同步

默认情况下，未将任何组或用户分配给您Okta中的IAM身份中心应用程序。通过自动配置组，该组的成员用户也会被自动配置。完成以下步骤，与IAM身份中心同步组和用户。

1. 在Okta中IAM身份中心应用程序页面中，单击“任务”。您可以将人员和组分配至IAM身份中心应用程序。
     a.    要分配人员：
      −    在分配页面，单击“Assign”，单击“Assign to people”。
      −    选择您想要为其分配IAM身份中心应用程序访问权限的Okta用户。单击“Assign”，单击“Save and Go Back”，然后单击“Done”。
           开始启动将用户自动配置到IAM身份中心的过程。
     b.    要分配组：
      −    在分配页面，单击“Assign”，单击“Assign to groups”。
      −    选择您想要为其分配IAM身份中心应用程序访问权限的Okta组。单击“Assign”，单击“Save and Go Back”，然后单击“Done”。
           开始启动将组中的用户自动配置到IAM身份中心的过程。
    
       如果所有用户记录中都没有该组的属性，您可能需要为该组指定其他属性。为组指定的属性将覆盖任何单独属性的值。
2. 单击“Push Groups”。选择包含您分配给IAM身份中心应用程序的所有组的Okta组。单击“Save”。
       将组及其成员推送到IAM身份中心后，组状态将更改为“Active”。
3. 返回“Assign”界面。
       如果有用户不属于您推送到IAM身份中心的组，则需要在“Assign”页面，单击“Assign”，单击“Assign to People”进行单独添加。
4. 选择您想要为其分配IAM身份中心应用程序访问权限的Okta用户。单击“Assign”，单击“Save and Go Back”，然后单击“Done”。
       开始启动将单个用户自动配置到IAM身份中心的过程。
5. 返回IAM身份中心控制台。在左侧导航栏中，选择“用户管理”，您将会看到用户列表填入了您的Okta用户。

当前IAM身份中心和Okta已经成功建立SAML连接，您可以在IAM身份中心中将这些用户分配给账号和应用程序。

----结束

步骤五：授予Okta用户对华为云账号的访问权限

本步骤通过指定一个用户并向其授予管理权限，使其称为IAM身份中心的管理员。

1. 登录华为云控制台。
2. 单击页面左上角的列表图标，选择“管理与监管 > IAM身份中心”，进入“IAM身份中心”页面。
3. 在左侧导航栏中，选择“多账号权限 > 权限集”，进入“权限集”页面。
4. 单击页面右上方的“创建权限集”，进入创建权限集页面。
      图1-6 创建权限集
    

   

5. 在“基本信息”页签中配置权限集的基本信息，配置完成后，单击“下一步”。
      图1-7 配置基本信息
    

   

   参数	描述
   名称	权限集的名称。此处以aaa为例。 自定义，不可与其他权限集名称重复。
   会话持续时间	使用此权限集授权的IAM身份中心用户登录控制台后的会话持续时间。 登录时间超出设置的会话持续时间后，会话将过期，用户将自动登出，如需继续访问，需重新登录。
   初始访问页面	IAM身份中心用户通过门户URL登录控制台后访问的初始页面。 例如您可以输入IAM控制台的URL，登录后将直接显示IAM控制台页面。
   描述	权限集的描述信息。

6. 进入“策略设置”页签，关闭仅启用身份策略，在系统策略下勾选“FullAccess”，单击“下一步”。
      图1-8 策略设置
    

   

7. 进入“配置确认”页面，确认配置无误后，单击页面右下角的“确定”，权限集创建完成。
      图1-9 配置确认
    

   

   
      新创建权限集的授权状态为“未授权”，权限集关联账号后授权状态将变为“已授权”。
8. 在左侧导航栏中，选择“多账号权限 > 账号权限管理”，进入“账号权限管理”页面。
      账号权限管理列表默认以组织结构树的形式显示，在列表左上方单击 ，列表将只显示组织下的所有成员账号，而不显示组织结构树。
      图1-10 账号列表显示方式切换
    

   

9. 在账号列表中勾选需要作为管理员的账号，单击左上方的“关联用户或组”。
      图1-11 选择账号
    

   

10. 进入“分配用户/组”页面，在列表中勾选需要关联的用户/组，单击“下一步”。
       图1-12 分配用户/组
     

    

11. 进入“选择权限集”页面，在权限集列表中勾选上面步骤创建的权限集aaa，单击“下一步”。
       图1-13 分配权限集
     

    

12. 进入“配置确认”页面，确认配置无误后，单击页面右下角的“确定”，为账号关联用户/组和权限集完成。
       图1-14 配置确认

    

----结束

步骤六：验证Okta用户对华为云资源的访问权限

1. 使用测试用户账户登录Okta dashboard。
2. 在我的应用程序下，选择IAM身份中心。
3. 登录门户后可以看到该华为云账号的图标。展开该图标可查看用户可以访问的华为云账号的列表。在上面的步骤中，您只使用了一个账号，因此展开图标只显示一个账号。
4. 选择该账号，可以看到该用户可用的权限集。在上面的步骤中，创建了名为aaa的权限集。
5. 打开华为云控制台，用户即可登录到华为云控制台上。

----结束

后续操作

您已成功将IAM身份中心的身份源切换为Okta外部身份提供商，并且自动配置了用户。您可以参考以下内容执行后续的一些操作：

• 账号关联用户/组和权限集
• 创建权限集
• 启用和配置访问控制属性