在IAM中将AD FS配置为可信SAML IdP
- 下载AD FS的元数据XML文件。
- 在IAM控制台使用下载好的元数据文件完成配置。具体步骤请参考用户SSO概览中的配置步骤-天翼云配置。
说明如果元数据文件超过大小限制,可以删除fed:ClaimTypesRequested和fed:ClaimTypesOffered中的所有内容。
在AD FS中将天翼云配置为信任方和配置映射关系
-
在管理工具-AD FS管理中,点击信任关系,右键点击信赖方信任,点击添加信赖方信任。
-
选择“导入有关在线或本地网络上发布的信赖方的数据”。填写链接如下:
https://iam.ctyun.cn/static/files/ctyun-federation-sp-%E7%94%9F%E4%BA%A7%E7%8E%AF%E5%A2%83.xml
-
其他信赖方选项按照默认配置,点击下一步直到完成。点击编辑声明规则。在颁发转换规则中,点击添加规则。
-
配置名称 ID声明。勾选使用转换传入声明,传出声明选择名称ID,传入声明选UPN。
-
配置身份提供商Id声明。勾选以声明方式发送组成员身份,传出声明为idpId,传出声明值在身份提供商配置查看。
-
配置AD用户与天翼云IAM用户的映射关系。在进行IAM用户映射登录时,支持以下两种方式配置AD用户与天翼云IAM用户的映射关系。建议以邮箱匹配(b)的方式完成用户映射。
注意如果两种配置都进行了配置,会以a方式中所示的userId优先进行匹配。因此如果需要使用b方式中按照邮箱匹配的方案,请先删除配置的对userId的映射。
- 配置天翼云IAM用户的映射,您可以从以下两种方式中选择一种完成映射。
- 配置天翼云IAM用户的userId完成映射。这一方式采用天翼云IAM用户的userId和AD用户进行映射配置,具体操作如下:在编辑声明规则中,勾选以声明方式发送组成员身份,传出声明为userId,传出声明值为天翼云用户ID。
注意这条映射代表将指定用户组下的成员,都映射为天翼云中的一个IAM用户。如果需要进行多条映射,需要设置多条同类规则,例如:AD FS用户组A映射为IAM用户a,AD FS用户组B映射为IAM用户b。
- 配置天翼云IAM用户的邮箱以完成映射(推荐)。这一方式采用天翼云IAM用户的邮箱与AD用户进行映射配置,具体操作如下:在编辑声明规则中,选择转换传入声明,在传入声明类型中,勾选UPN;在传出声明类型中,输入email。如果UPN能够与天翼云用户的邮箱匹配,请勾选传递所有声明值,例如,AD用户登录的UPN为testUser@cty.cn,则需要新建一个天翼云IAM子用户,邮箱为testUser@cty.cn,以此类推为不同的AD用户完成匹配。
注意如果天翼云用户邮箱后缀和AD用户的UPN不同,可以选择将传入电子邮件后缀替换为新电子邮件后缀,并填写电子邮件后缀,例如AD用户testUser@cty.cn,配置将传入电子邮件后缀替换为新电子邮件后缀,填写新后缀为aduser.cn,则可以匹配到天翼云IAM子用户testUser@aduser.cn。
8. 配置账户Id声明。勾选使用转换传入声明,传出声明为accountId,配置规则如下,传入账户的唯一标识,可以UPN、email、IDP侧用户ID、主SID。
9. 配置UPN转换规则,传入声明为UPN,传出声明固定输入nickName。