Создание IdP

IAM поддерживает федерацию удостоверений по протоколу SAML 2.0, поэтому корпоративный IdP должен также поддерживать этот протокол.

Security Assertion Markup Language (SAML) — это открытый стандарт на основе XML для обмена данными аутентификации и авторизации между доменами безопасности.

Примечание

Перед добавлением IdP в IAM установите отношения доверия между корпоративным поставщиком удостоверений и облачной платформой.

Создание и настройка IdP в IAM

  1. Зайдите в консоль как администратор безопасности.

  2. В панели слева выберите Identity Providers и нажмите Create Identity Provider.

  3. Задайте название Name, описание Description и выберите статус Status IdP.

  4. Сохраните изменения — нажмите OK. После этого IdP появится в списке провайдеров.

  5. Нажмите Modify в строке с добавленным IdP.

  6. В блоке Metadata Configuration настройте метаданные одним из способов: загрузкой файла или вручную.

    • Загрузка файла метаданных. Подходит, если размер файла с метаданными не превышает 500KБ.

      • Нажмите рядом с кнопкой Upload и выберите файл с метаданными корпоративного IdP.

      • Нажмите Upload. Откроется диалоговое окно с метаданными.

      • Нажмите OK. Если появится сообщение The uploaded file contains multiple IdPs. Select an IdP as needed, выберите нужный IdP из списка Entity ID. Если появится сообщение о пустом значении Entity ID в файле метаданных или истекшем сроке действия сертификата подписи, убедитесь, что загружаете корректный файл с метаданными.

    • Ручная настройка метаданных.

      • Нажмите Manually configure.

      • Задайте протокол, сертификат и другие параметры.

        Описание

        Параметр

        Entity ID

        Уникальный идентификатор провайдера удостоверений. Если в файле метаданных несколько провайдеров удостоверений, укажите идентификатор выбранного IdP.

        Protocol

        SAML-протокол используется для федерации удостоверений между корпоративным IdP и облачной платформой. IAM поддерживает только протокол SAML 2.0.

        NameIdFormat

        Формат имени пользователя, поддерживаемый провайдером удостоверений. Имена используются для обмена данными между IdP и федеративными пользователями.

        Signing Certificate

        Сертификат публичного ключа проверяется при аутентификации федеративного пользователя для обеспечения подлинности соединения. В целях безопасности рекомендуются ключи длиной не менее 2048 бит.

        SingleSignOnService

        Параметр определяет, как SAML-запросы отправляются во время SSO-логина. Должен поддерживать HTTP-редирект или HTTP POST.

        SingleLogoutService

        Адрес, на который перенаправляется федеративный пользователь после завершения сессии. Параметр должен поддерживать HTTP-редирект или HTTP POST.

      • Нажмите OK.

  7. Сохраните изменения — нажмите OK.

Проверка настроек

  1. Нажмите View в строке с нужным IdP на странице Identity Providers.

  2. Нажмите Copy в строке Login Link и откройте скопированную ссылку в браузере.

  3. Проверьте, что корпоративный IdP-сервер показывает страницу входа.

  4. Введите логин и пароль и убедитесь, что вы можете подключиться к облачной платформе.

Примечание

Если перенаправление не срабатывает, убедитесь, что корпоративные метаданные и IdP-сервер настроены корректно.

См.также