【IAM身份中心】如何通过IAM身份中心访问组织外的华为云账号
0. 引言
通过华为云IAM身份中心,你可以对组织内多账号的身份与权限做集中的管理。你可以为用户分配访问到组织下任意账号的权限。
华为云IAM身份中心,同时还支持作为身份源,通过SAML单点登陆到云上或云下的应用程序。
本文中,将使用该方式,使你可以通过IAM身份中心,通过单点登陆的方式,登陆到组织外的华为云账号。
1. 前置条件
- 拥有一个已开通组织与IAM身份中心的华为云账号,并且拥有IAM身份中心的权限;
- 同时拥有一个不在该组织的华为云账号,并且拥有该账号的IAM权限。
2. 实施步骤
2.1 华为云系统的元数据文件(metadata文件)
访问网址:https://auth.huaweicloud.com/authui/saml/metadata.xml。下载华为云元数据文件,并设置文件名称,例如“SP-metadata.xml”。
2.2 在IAM身份中心创建应用程序
(1)在IAM身份中心控制台,“应用程序”中,选择“添加应用程序”
(2)设置应用程序的显示名称,然后在“应用程序元数据”中,选择“上传应用程序SAML元数据文件”,并选择之前下载的SP-metadata.xml
(3)在“IAM身份中心元数据”中,点击“下载元数据文件”,可以命名为“IdP-metadata.xml”。
(4)点击“确定”保存。
2.3在华为云账号中创建身份提供商
(1)登陆到组织外账号的IAM控制台,选择“身份提供商”,“创建身份提供商”,创建一个协议类型为“SAML”,类型为“IAM用户SSO”。
(2)在“添加文件”中,选择之前下载的“IdP-metadata.xml”,并上传保存。
2.4 在IdC中配置属性映射
(1)在IdC的应用程序中,打开属性映射;
(2)需要按如下配置属性映射
|
IAM_SAML_Attributes_xUserId |
选择IAM用户SSO时,企业IdP用户的ID值。 |
建议填${user:name} IdC用户的用户名,要填写在对应IAM用户的外部身份ID中
|
|
IAM_SAML_Attributes_domain_id |
组织外账号的domainId |
可从此处获取
|
|
IAM_SAML_Attributes_idp_id |
组织外账号的身份提供商名称 |
从此处获取
|
2.5 从IdC Portal跳转
从此处单点登陆即可
- 点赞
- 收藏
- 关注作者
评论(0)