身份提供商概述-九游平台
iam支持基于saml、oidc协议的单点登录,如果您已经有自己的企业管理系统,同时您的用户需要使用您账号内的云服务资源,您可以使用iam的身份提供商功能,实现用户使用企业管理系统账号单点登录华为云,这一过程称之为联邦身份认证。
基本概念
|
概念 |
说明 |
|---|---|
|
身份提供商(identity provider,简称idp) |
负责收集、存储用户身份信息,如用户名、密码等,在用户登录时负责认证用户的服务。在企业与华为云联邦身份认证的过程中,身份提供商指企业自身的身份提供商,目前常用的第三方idp有microsoft active directory(ad fs)、shibboleth。 |
|
服务提供商(service provider,简称sp) |
服务提供商通过与身份提供商idp建立信任关系,使用idp提供的用户信息,为用户提供具体的服务。在企业与华为云联邦身份认证的过程中,服务提供商指华为云。 |
|
联邦身份认证 |
身份提供商idp与服务提供商sp建立信任关系并完成交互流程,实现用户单点登录的过程,称之为联邦身份认证。 |
|
单点登录(single sign-on,简称sso) |
用户在身份提供商idp系统登录后,就可以通过跳转链接访问已建立互信关系的服务提供商sp系统,这一过程称之为单点登录。如:企业管理系统与华为云建立互信关系后,企业管理系统中的用户通过华为云提供的登录入口,使用已有的账号密码在企业管理系统中登录后,即可跳转访问华为云。华为云支持两类单点登录方式,分别是虚拟用户sso和iam用户sso。 |
|
saml 2.0 |
安全断言标记语言(security assertion markup language 2.0,缩写为saml 2.0)是一个由一组协议组成,用来传输安全声明的xml框架。saml2.0是由标准化组织oasis提出的用于安全操作的标准,是很多身份提供商 (idp)使用的一种开放标准,关于saml2.0的详细描述请参见:。iam支持使用saml2.0协议进行联邦身份认证,因此与华为云建立联邦身份认证的企业idp必须支持saml2.0协议。 |
|
oidc |
oidc是openid connect的简称,是一个基于oauth 2.0协议的身份认证标准协议。iam支持使用oidc1.0协议进行联邦身份认证,因此与华为云建立联邦身份认证的企业idp必须支持oidc 1.0协议。关于oidc的详细描述请参见:。 |
|
oauth 2.0 |
oauth 2.0是open authorization 2.0的简称,是一种开放授权协议,授权框架支持第三方应用程序以自己的名义获取访问权限。 |
使用联邦身份认证的优势
- 管理用户简单
使用联邦身份认证前,管理员需要在企业管理系统和华为云分别为用户创建账号。
使用联邦身份认证后,企业管理员只需要在企业管理系统中为用户创建账号,用户即可同时访问两个系统,降低了人员管理成本。
- 用户操作方便
使用联邦身份认证前,用户访问企业管理系统和华为云时需要使用两个系统的账号登录。
使用联邦身份认证后,用户在本企业管理系统中登录即可访问两个系统。
图1 使用联邦身份认证的优势
sso方式
目前iam支持两类sso方式,分别是虚拟用户sso和iam用户sso。选择sso方式请参见。
- 虚拟用户sso
企业idp用户登录华为云后,系统为其自动创建虚拟用户信息,并根据您配置的身份转换规则为其授予访问权限。
- iam用户sso
企业idp用户登录华为云后,系统将自动匹配外部身份id绑定的对应iam子用户,从而拥有该子用户所在用户组的权限。
目前iam支持两种联邦登录的形式,分别是浏览器页面单点登录(web sso)和调用api接口。
- 浏览器页面单点登录(web sso):浏览器作为通讯媒介,适用于普通用户通过浏览器访问华为云。您可以从idp侧或sp侧发起web sso:
- idp侧发起登录:配置企业管理系统登录入口后,通过企业管理系统单点登录华为云。
- sp侧发起登录:通过华为云提供的企业联邦用户登录入口,输入对应华为云用户名称,选择身份提供商,跳转至企业管理系统进行登录认证。
- 调用api接口:开发工具/应用程序作为通讯媒介,例如openstack client、shibbolethecp client,适用于企业或用户通过api调用方式访问华为云。
|
sso方式 |
支持协议 |
是否支持web sso |
是否支持api调用 |
从idp侧发起登录 |
从sp侧发起登录 |
多个idp |
|---|---|---|---|---|---|---|
|
虚拟用户sso |
saml 2.0与oidc |
是 |
是 |
支持 |
支持 |
支持 |
|
iam用户sso |
saml 2.0 |
是 |
是 |
支持 |
支持 |
不支持 |
本章为您介绍通过浏览器页面单点登录华为云的过程(web sso),如需了解通过api调用方式访问华为云,请参见:。
注意事项
- 企业idp服务器的时间需要和华为云的时间、时区一致,即都使用gmt时间(greenwich mean time),否则会导致联邦身份认证失败。
- 由于联邦用户的身份信息(如邮件地址、手机号码)保存在企业idp中,是企业idp映射到华为云的虚拟用户,因此,联邦用户通过身份提供商功能访问华为云时有以下约束:
- 如果账号开启了敏感操作保护(登录保护或操作保护),对联邦用户不生效,即联邦用户在执行敏感操作时,不需要二次验证。
- 不支持创建永久访问密钥(ak/sk),支持通过用户或委托token来获取临时访问凭证(临时ak/sk和securitytoken),具体方法请参见:。
如需使用永久ak/sk,只能由账号或是实体iam用户创建密钥,共享给联邦用户。由于密钥表示用户所拥有的权限,因此建议由与联邦用户同在一个用户组的实体iam用户创建并分享密钥。
相关文档
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
