在IAM中将AD FS配置为可信SAML IdP

1. 下载AD FS的元数据XML文件。
2. 在IAM控制台使用下载好的元数据文件完成配置。具体步骤请参考用户SSO概览中的配置步骤-天翼云配置。

说明
如果元数据文件超过大小限制，可以删除fed:ClaimTypesRequested和fed:ClaimTypesOffered中的所有内容。

在AD FS中将天翼云配置为信任方和配置映射关系

1. 在管理工具-AD FS管理中，点击信任关系，右键点击信赖方信任，点击添加信赖方信任。

   

2. 选择“导入有关在线或本地网络上发布的信赖方的数据”。填写链接如下：
   https://iam.ctyun.cn/static/files/ctyun-federation-sp-%E7%94%9F%E4%BA%A7%E7%8E%AF%E5%A2%83.xml
   

3. 其他信赖方选项按照默认配置，点击下一步直到完成。点击编辑声明规则。在颁发转换规则中，点击添加规则。
   

   

4. 配置名称 ID声明。勾选使用转换传入声明,传出声明选择名称ID，传入声明选UPN。
   

   

5. 配置身份提供商Id声明。勾选以声明方式发送组成员身份，传出声明为idpId,传出声明值在身份提供商配置查看。
   

   

   

6. 配置AD用户与天翼云IAM用户的映射关系。在进行IAM用户映射登录时，支持以下两种方式配置AD用户与天翼云IAM用户的映射关系。建议以邮箱匹配（b）的方式完成用户映射。

注意
如果两种配置都进行了配置，会以a方式中所示的userId优先进行匹配。因此如果需要使用b方式中按照邮箱匹配的方案，请先删除配置的对userId的映射。

7. 配置天翼云IAM用户的映射，您可以从以下两种方式中选择一种完成映射。
   1. 配置天翼云IAM用户的userId完成映射。这一方式采用天翼云IAM用户的userId和AD用户进行映射配置，具体操作如下：在编辑声明规则中，勾选以声明方式发送组成员身份，传出声明为userId，传出声明值为天翼云用户ID。

注意
这条映射代表将指定用户组下的成员，都映射为天翼云中的一个IAM用户。如果需要进行多条映射，需要设置多条同类规则，例如：AD FS用户组A映射为IAM用户a，AD FS用户组B映射为IAM用户b。

3. 配置天翼云IAM用户的邮箱以完成映射（推荐）。这一方式采用天翼云IAM用户的邮箱与AD用户进行映射配置，具体操作如下：在编辑声明规则中，选择转换传入声明，在传入声明类型中，勾选UPN；在传出声明类型中，输入email。如果UPN能够与天翼云用户的邮箱匹配，请勾选传递所有声明值，例如，AD用户登录的UPN为testUser@cty.cn，则需要新建一个天翼云IAM子用户，邮箱为testUser@cty.cn，以此类推为不同的AD用户完成匹配。

注意
如果天翼云用户邮箱后缀和AD用户的UPN不同，可以选择将传入电子邮件后缀替换为新电子邮件后缀，并填写电子邮件后缀，例如AD用户testUser@cty.cn，配置将传入电子邮件后缀替换为新电子邮件后缀，填写新后缀为aduser.cn，则可以匹配到天翼云IAM子用户testUser@aduser.cn。

8. 配置账户Id声明。勾选使用转换传入声明,传出声明为accountId,配置规则如下，传入账户的唯一标识，可以UPN、email、IDP侧用户ID、主SID。

9. 配置UPN转换规则，传入声明为UPN，传出声明固定输入nickName。