华为云
本文将介绍 TOPIAM 与 华为云 集成步骤详细指南。
应用简介
华为云提供稳定可靠、安全可信、可持续发展的云服务,致力于让云无处不在,让智能无所不及,共建智能世界云底座。
华为云支持SAML2和OIDC协议,TOPIAM 都可以很好的与其进行集成,本篇文章 TOPIAM 使用OIDC协议与其对接。
TOPIAM 侧配置
新建OIDC协议应用
配置应用基础信息
-
进入应用详情,点击「应用配置」选项卡,完善应用基本信息,如应用图标、应用分组等
-
授权范围:改为全员可访问,手动授权请参考应用授权进行配置。
默认情况下,授权范围设定为“手动授权”,这需要前往“访问授权”进行具体的权限分配;如果选择“全员可访问”,那么便无需再进行访问授权的分配。
配置应用协议
-
进入应用详情,点击「协议配置」选项卡。
-
在基本配置中,配置登录 Redirect URI,内容为:
https://auth.huaweicloud.com/authui/oidc/post。
-
在高级配置中,用户信息范围勾选
profile。
华为云侧配置
用管理员账户登录华为云控制台,进入统一身份认证。
创建身份提供商
-
在统一认证服务页面,进入「身份提供商 」菜单,点击「创建身份提供商」按钮。
-
填写名称,协议选择 OpenID Connect,类型选择虚拟用户SSO,状态为启用,点击确认后,前往修改身份提供商页面完善信息。
修改身份提供商
-
在修改身份提供商页面,访问方式选择编程访问和管理控制台访问。
-
在修改身份提供商页面,填写“配置信息”。
配置信息 说明 身份提供商URL OpenID Connect身份提供商标识。对应TOPIAM侧应用配置中"issuer"字段的值。 客户端 ID 在OpenID Connect身份提供商注册的客户端ID 授权请求Endpoint OpenID Connect身份提供商授权地址。对应TOPIAM侧应用配置中"授权端点"字段的值。 授权请求Scope 授权请求信息范围。勾选openid、profile。 授权请求Response type 授权请求返回参数类型,选择 id_token。 授权请求Response mode 授权请求返回模式,选择 form_post。 签名公钥 验证OpenID Connect身份提供商ID Token签名的公钥。对应TOPIAM侧应用配置中"验签公钥端点"请求响应的值。 -
在修改身份提供商页面,配置“身份转换规则”,点击编辑规则。
根据自身实际情况修改规则中 local:group:name 字段中的值,该值是对应的为用户组名称,如没有用户组请前往创建用户组并授权了解并创建。
[
{
"remote": [
{
"type": "preferred_username"
}
],
"local": [
{
"user": {
"name": "{0}"
}
},
{
"group": {
"name": "admin"
}
}
]
}
]
测试验证
-
前往华为云登录页面,点击「更多账号登录」选择「企业联邦用户」。
-
输入租户名,选择刚才创建的OIDC身份提供商登录。
-
完成账户认证后,将直接跳转到华为云控制台首页。
常见问题
如何在门户端发起登录?
-
在华为云统一身份认证服务-身份提供商,点击查看。
-
在查看身份提供商页面,找到访问方式,复制登录链接。
-
在TOPIAM中,选择「协议配置」选项卡,将华为云登录链接复制到“登录发起地址”中。
