手把手教你用Windows AD配置华为云联邦认证

本文介绍如何基于Windows AD服务器配置与华为云IAM的联邦认证

0x01 联合认证简介

当企业已有自己的身份认证系统,希望使用自己的身份认证系统登录华为云,而不需要在华为云中重新创建对应的IAM用户时,可以使用IAM提供的身份提供商(IdP)功能。通过该功能,企业用户不需要在华为云中重新创建用户,只需使用企业已有的用户名密码即可登录并使用华为云资源。利用身份提供商(IdP)机制,您可以向企业中的用户授予使用您账户中华为云资源的权限。关于身份提供商功能的详细说明,请参见联邦身份认证

本文以企业IdP系统为Active Directory Federation Services(以下简称ADFS)为例,说明配置联邦用户访问华为云系统的方法。其中我们使用Active Directory(AD)做为用户管理和访问软件。
下图为ADFS与华为云的联合认证流程。

image.png

从图中可知,联合认证的步骤为:

  1. 用户在浏览器中打开从华为云上获取到的登录链接,浏览器向华为云发起单点登录请求。
  2. 华为云根据登录链接中携带的信息,查找对应的Metadata文件,构建SAML Request,发送给浏览器。
  3. 浏览器响应后,转发SAML Request给ADFS。
  4. 用户在浏览器中输入AD中创建的用户名和密码,完成身份认证。
  5. ADFS服务器构建携带用户信息的SAML断言,向浏览器发送SAML Response。
  6. 浏览器响应后转发SAML Response给华为云。
  7. 华为云从SAML Response中取出断言,并根据已配置的身份转换规则映射到具体的IAM用户组,颁发Token。
  8. 用户完成单点登录,根据权限访问华为云。

0x02 环境准备

域控环境准备

  • 已完成Windows AD域控搭建,搭建方法请参考
  • AD域控服务器到华为云的网络可达
  • 已经注册了可用的华为云账号

AD用户组配置

  • 创建用户组ADFSAdmin添加用户charles
  • 创建用户组ADFSGuest添加用户rebecca
    稍后我们会将这两个用户组映射到IAM组

0x03 AD FS安装

注意,这里假设AD服务器已经就绪,包括AD域控、用户组和用户,相关步骤请参考《华为云搭建Windows Active Directory(AD)认证服务器》(https://www.jianshu.com/p/b31a70f267ac)

打开“服务器管理器” > “添加角色和功能”


image.png

之后一直按下一步,直到


image.png

勾选“Active Directory Federation Services”,然后下一步
image.png
image.png
image.png

点击“安装”


image.png

安装完成后,点击链接“在此服务器上配置联合身份验证服务”


image.png

下一步
image.png

选择证书,CA证书在搭建AD域控服务器的时候已经配置过,这里可以直接选到(如果安装完AD证书服务后还是选不到,可以尝试重启服务器或者手动导入)
image.png

这里可以直接使用AD域内的Administrator账号密码,点下一步


image.png
image.png
image.png
image.png
image.png

完成配置

0x04 配置华为云信任关系

在ADFS安装配置完成后,需要将华为云的信任关系配置到ADFS中,以完成ADFS对华为云的信息关系添加。

保存华为云的断言描述。在浏览器中输入如下链接,并将该网页另存为“metadata.xml”

https://auth.huaweicloud.com/authui/saml/metadata.xml

在“管理工具”中打开“AD FS管理”,选择“添加信赖方信任向导”

image.png

点击“启动”
在“选择数据源”界面,勾选“从文件导入有关信赖方的数据”,选择上一步保存的metadata.xml
image.png

输入显示名称
image.png

下一步
image.png

image.png

维持默认选项,下一步
image.png

image.png

配置规则

作为测试,这里添加5条规则

  1. 添加Rule_01。

    单击“添加规则”。

image.png

在弹出的窗口中选择“使用自定义规则发送声明”。

image.png

在配置规则窗口中按如下图填写,填写完成后,单击“完成”,完成Rule_01的规则添加。其中自定义规则填写内容为:

c:[Type =="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",Issuer == "AD AUTHORITY"]=> add(store = "Active Directory", types =("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"),query = ";sAMAccountName;{0}", param = c.Value);
  1. 重复如上操作,完成Rule_02的添加,其中自定义规则内容如下。
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"]=> issue(Type ="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value,ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]= "urn:oasis:names:tc:SAML:2.0:nameid-format:transient",Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]= "https://auth.huaweicloud.com/");
  1. 添加ug1规则,定义由AD域创建的用户组ADFSAdmin为指定的声明值“ADFSAdmin”。

    单击“添加规则”,在弹出窗口中选择“以声明方式发送组成员身份”,单击“下一步”。


    image.png

在“选择组”窗口中,选择对象类型为“组”,并在对象名称中输入由AD域创建的用户组名称,此处示例为“ADFSAdmin”,单击“确定”。

image.png
  1. 重复添加规则ug1的操作,添加规则ug2,将AD域创建的另一个用户组传出为声明值,此处示例为AD组名“ADFSGuest”,传出值为“ADFSGuest”。
image.png
  1. 创建规则“name”。

单击“添加规则”,在弹出窗口中选择“以声明方式发送 LDAP特性”,单击“下一步”。
在弹出窗口中“选择规则类型”按如下图填写,并单击“完成”。


image.png
  1. 最终编辑声明规则如下图所示,单击“确定”,完成规则设置。


    image.png

在PowerShell中注册SPN并关闭身份验证扩展保护

  1. 打开Windows PowerShell,运行如下命令注册SPN,其中标红的内容为创建证书时,设置的显示CA证书名称,本例中为test-ad-server.dearcharles.cn
setspn -s http/test-ad-server.dearcharles.cn administrator
注册完成后,可使用如下命令查看结果。
setspn -q http/test-ad-server.dearcharles.cn
image.png
  1. 由于Windows 2012 R2使用了身份验证扩展保护功能,但是由于部分浏览器不支持扩展保护功能,使得您无法从企业网络内部使用集成Windows身份验证登录到云服务。因此为了ADFS能正常的登录到华为云,需要关闭ADFS的扩展保护功能。

    在PowerShell中运行如下命令,关闭ADFS的扩展保护功能,设置完成后,请重启“AD FS管理”。

Set-ADFSProperties -ExtendedProtectionTokenCheck None
image.png
  1. 验证IAM连接成功。在浏览器中打开如下链接,显示下图内容,说明连接成功。其中标红的内容为创建证书时,显示的CA证书名称。
https://test-ad-server.dearcharles.cn/adfs/ls/idpinitiatedsignon.aspx

当看明本地的配置已经完成了


image.png

如果页面访问不到,需要看一下AD服务器所在的安全组是否放开了443端口(默认是不开的),需要在入方向放开443端口
这里可能还需要注册一个DNS域名,比如本例的dearcharles.cn以及A记录test-ad-server.dearcharles.cn

在IAM上配置身份提供商

在完成ADFS的安装及信息关系配置后,还需要在IAM上创建ADFS身份提供商,并添加ADFS的metadata文件,以建立华为云对ADFS的信任关系。此外,需要在IAM的身份提供商中,配置AD域用户组与华为云用户组间的映射关系,以实现AD域用户通过ADFS完成与华为云间的联合认证及权限范围限定。

  1. 在浏览器打开如下链接,其中标的内容请替换为CA证书名称,将将此文件另存为federationmetadata.xml。
https://test-ad-server.dearcharles.cn/federationmetadata/2007-06/federationmetadata.xml

说明:
如果在IE中打开此链接,出现乱码,请在IE中打开“工具”选择“兼容性视图设置,并将“https://test-ad-server.dearcharles.cn/federationmetadata/2007-06/federationmetadata.xml”添加进去。添加完成后,重新打开此链接,即可解决乱码问题。

  1. 使用华为云账户登录华为云,并进入IAM控制台,在控制台左侧导航栏中单击“身份提供商”,单击“创建身份提供商。


    image.png
  2. 在“创建身份提供商”页面,填写身份提供商名称、协议、状态,单击“确定”。

image.png
  1. 在已创建的身份提供商后单击“修改”。
image.png
  1. 在“修改身份提供商”页面的“元数据配置”中,将1中下载的federationmetadata.xml上传。
image.png
  1. 在“修改身份提供商”页面的“身份转换规则”单击“编辑规则”,填入如下规则。关于IAM规则的详细说明,请参见联邦用户身份规则转换说明。

    如下规则表示AD域的ADFSAdmin用户组映射至IAM的admin用户组。AdFSGuest用户组映射到IAM的guest用户组。并且用户组中的所有用户在华为云中登录后,在华为云上显示的IAM用户名为“acompany_用户名”,例如Chales登录后显示的IAM用户名是“acompany_Charles”。

[{"remote": [{"type": "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"},{"any_one_of": ["ADFSAdmin"],"type": "http://schemas.xmlsoap.org/claims/Group"}],"local": [{"user": {"name": "acompny_{0} "}},{"group": {"name": "admin"}}]},{"remote": [{"type": "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"},{"any_one_of": ["ADFSGuest"],"type": "http://schemas.xmlsoap.org/claims/Group"}],"local": [{"user": {"name": " acompny_{0} "}},{"group": {"name": "guest"}}]}]

SP端发起登录

  1. 在“修改身份提供商”页面,复制登录链接,并在浏览器中输入如下链接。
image.png
  1. 浏览器弹出如下页面中,填写AD域的用户名和密码,单击“登录”,能成功登录到华为云控制台,表示AD中的域用户到华为云的联合认证成功。
image.png
  1. 出现如下页面,说明使用AD域的用户Charles登录华为云成功。


    image.png

IdP端发起登录

  1. 在“修改身份提供商”页面,查看对应的domain_id,idp。
image.png
  1. 在ADFS上添加domain_id、idp对应的规则。
image.png

a. 添加方式:编辑声明颁发策略-->添加规则-->以声明方式发送组成员身份。
b. 添加domainId:其中声明规则名称可自定义,传出声明类型必须为:IAM_SAML_Attributes_domain_id,传出声明值为对应的domain_id。

image.png

c. 添加IdP:其中声明规则名称可自定义,传出声明类型必须为:IAM_SAML_Attributes_idp_id,传出声明值为对应的idp名称。

image.png
  1. 登录https://{ADFS服务器名称}.dearcharles.cn/adfs/ls/idpinitiatedsignon.aspx进行验证。

    image.png

  2. 输入账号密码登录后,成功跳转至华为云Console,表示AD中的域用户到华为云的联合认证成功。

image.png
  1. 出现如下页面,说明使用AD域的用户charles登录华为云成功。
image.png
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,547评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,399评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,428评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,599评论 1 274
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,612评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,577评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,941评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,603评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,852评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,605评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,693评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,375评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,955评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,936评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,172评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,970评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,414评论 2 342

推荐阅读更多精彩内容