- 微信
- 微博
  
  分享文章到微博
- 复制链接
  
  复制链接到剪贴板

IAM身份中心与ADFS对接操作指导

黄田雨发表于 2024/06/28 17:17:02 2024/06/28

【摘要】本文中不赘述ADFS的安装方法 1. ADFS中添加华为云信任关系在ADFS安装配置完成后，需要将华为云的信任关系配置到ADFS中，以完成ADFS对华为云的信任关系添加。 1.1 获取IAM身份中心SP元数据文件（1）使用华为云账号登录华为云，在“IAM身份中心”-“设置”中点击“更改外部身份提供商”（2）点击下载元数据文件，下载华为云“metadata.xml”文件保存 1.2 将元数...

本文中不赘述ADFS的安装方法

1. ADFS中添加华为云信任关系

在ADFS安装配置完成后，需要将华为云的信任关系配置到ADFS中，以完成ADFS对华为云的信任关系添加。

1.1 获取IAM身份中心SP元数据文件

（1）使用华为云账号登录华为云，在“IAM身份中心”-“设置”中点击“更改外部身份提供商”

（2）点击下载元数据文件，下载华为云“metadata.xml”文件保存

1.2 将元数据上传至ADFS

（1）在“管理工具”中打开“AD FS管理”，选择“添加信赖方信任向导”。在弹出的窗口中“欢迎使用”中点击“启动”。

（2）在“选择数据源”中选择“从文件导入有关信赖方的数据”，单击“浏览”，将步骤1.1保存的“metadata.xml”上传至此，单击“下一步”。

（3）在“指定显示名称”填写信赖方显示名称，单击“下一步”。

（4）在“是否立即配置多重身份验证”按默认选择，单击“下一步”。

（5）在“选择颁发授权规则”中，按默认选择，单击“下一步”。

（6）在“准备好添加信任”中按默认选择，单击“下一步”。

（7）完成关闭即可

1.3 ADFS 中添加规则

（1）在“管理工具”中打开“AD FS管理”，选择“编辑声明规则”。

（2）在弹出的窗口中单击“添加规则”。在配置规则窗口中按如下图填写，填写完成后，单击“完成”，完成Rule_01的规则添加。其中自定义规则填写内容为：
c:[Type =="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnam e",Issuer == "AD AUTHORITY"]=> add(store = "Active Directory", types =("http://schem as.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"),query = ";sAMAccountName; {0}", param = c.Value);

（3）重复“添加规则”步骤，完成Rule_02的规则添加。其中自定义规则填写内容为
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"]=> issue(Type ="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value,ValueType = c. ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimpropertie s/format"]= "urn:oasis:names:tc:SAML:2.0:nameid-format:transient",Properties["http:/ /schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]= "https:/ /auth.huaweicloud.com/");
（4）添加ug1规则，定义由AD域创建的用户组ADFSAdmin为指定的声明值“ADFSAdmin”。单击“添加规则”，在弹出窗口中选择“以声明方式发送组成员身份”，单击“下一步”。

（5）创建规则“name”。单击“添加规则”，在弹出窗口中选择“以声明方式发送LDAP特性”，单击“下一步”。在弹出窗口中“选择规则类型”按如下图填写，并单击“完成”。

（6）最后，规则信息如下图所示