本文中不赘述ADFS的安装方法

1. ADFS中添加华为云信任关系

在ADFS安装配置完成后，需要将华为云的信任关系配置到ADFS中，以完成ADFS对华为云的信任关系添加。

1.1 获取IAM身份中心SP元数据文件

（1） 使用华为云账号登录华为云，在“IAM身份中心”-“设置”中点击“更改外部身份提供商”

（2） 点击下载元数据文件，下载华为云“metadata.xml”文件保存

1.2 将元数据上传至ADFS

（1） 在“管理工具”中打开“AD FS管理”，选择“添加信赖方信任向导”。在弹出的窗口中“欢迎使用”中点击“启动”。


（2） 在“选择数据源”中选择“从文件导入有关信赖方的数据”，单击“浏览”，将步骤1.1保存的“metadata.xml”上传至此，单击“下一步”。

（3） 在“指定显示名称”填写信赖方显示名称，单击“下一步”。

（4） 在“是否立即配置多重身份验证”按默认选择，单击“下一步”。

（5） 在“选择颁发授权规则”中，按默认选择，单击“下一步”。

（6） 在“准备好添加信任”中按默认选择，单击“下一步”。

（7） 完成关闭即可

1.3 ADFS 中添加规则

（1） 在“管理工具”中打开“AD FS管理”，选择“编辑声明规则”。

（2） 在弹出的窗口中单击“添加规则”。在配置规则窗口中按如下图填写，填写完成后，单击“完成”，完成Rule_01的规则添加。其中自定义规则填写内容为：
c:[Type == “http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname”, Issuer == “AD AUTHORITY”] => add(store = “Active Directory”, types = (“http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier”), query = “;sAMAccountName;{0}”, param = c.Value);

（3） 重复“添加规则”步骤，完成Rule_02的规则添加。其中自定义规则填写内容为
c:[Type == “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier”]=> issue(Type = “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier”, Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format”] = “urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress”);
（4） 添加ug1规则，定义由AD域创建的用户组ADFSAdmin为指定的声明值“ADFSAdmin”。单击“添加规则”，在弹出窗口中选择“以声明方式发送组成员身份”，单击“下一步”。



（5） 创建规则“name”。单击“添加规则”，在弹出窗口中选择“以声明方式发送LDAP特性”，单击“下一步”。在弹出窗口中“选择规则类型”按如下图填写，并单击“完成”。


（6） 最后，规则信息如下图所示

1.4 华为云更改外部身份提供商

（1） 使用计算机域管理员登录计算机Windows 2012 R2。在浏览器打开如下链接，将此文件另存为“federationmetadata.xml”。
（2） 使用华为云账户登录华为云，在“IAM身份中心”->“设置”中点击“更改为外部身份提供商”。

2. 验证

4.1 在浏览器打开如下链接，进行ADFS登陆华为云验证：https://{ADFS服务器名称}.dearcharles.cn/adfs/ls/idpinitiatedsignon.aspx

其中，ADFS服务器名称为 ecs-demo01-docker.example.com。

4.2 输入账号密码登录后，成功跳转至华为云Console，表示Active Directory域服务

用户到华为云IAM身份中心的认证成功