配置身份提供商
最近更新时间:2023.09.13 17:54:48
首次发布时间:2023.08.02 10:39:26
要启用多云CDN的免密登录功能,您必须在云服务商系统中将多云CDN设置为可信的身份提供商(IdP)。本文介绍了您需要在云服务商系统中完成的相关配置。
配置概述
您首先需要在云服务商控制台为多云CDN创建对应的身份提供商(IdP)配置。
创建 IdP 配置时,云服务商会要求您提供企业 IdP 的元数据。您可以从多云CDN控制台下载元数据。
创建 IdP 配置后,您还需要在云服务商控制台创建一个或多个访客身份(大部分云服务商系统以“角色”映射访客身份,个别云服务商以“用户”映射访客身份),并为访客身份授予 CDN 的访问权限。
下载元数据
您可以在多云CDN控制台下载多云CDN的 IdP 元数据。元数据文件包括了多云CDN IdP 的服务地址以及可用来验证从 IdP 处收到的 SAML 身份验证响应 (断言) 的证书等信息。
具体步骤如下:
登录多云CDN控制台。
在左侧导航栏,选择 云服务商 > 账号管理。
在账号列表找到您要配置的账号,单击 操作 列的 详情。
在账号详情面板,单击 免密登录 页签。
在操作指引的 01 下载元数据 区域,单击 立即下载。
元数据将被自动下载到浏览器的默认下载路径。下载的元数据是一个 .xml 文件,文件名称为云服务商的代码。
示例:
假设您在阿里云账号详情中下载元数据,则下载的文件是aliyun.xml。
不同云服务商的角色SSO配置概述
阿里云角色SSO配置
在多云CDN控制台,从阿里云账号详情中下载元数据。
下载的元数据文件为
aliyun.xml。使用阿里云账号登录阿里云访问控制(RAM)控制台。
找到 角色SSO 菜单,创建一个 SAML 类型的身份提供商。具体操作步骤,请参考阿里云的相关文档。
创建过程中,注意以下配置:
- 身份提供商名称:建议设置为
mcdn_idp。注意
后续您需要向多云CDN提供此处设置的身份提供商名称,以启用免密登录。
- 元数据文档:上传您从多云CDN获得的元数据文件(
aliyun.xml)。
- 身份提供商名称:建议设置为
找到 角色 菜单,为 SAML 身份提供商创建对应的角色。具体操作步骤,请参考阿里云的相关文档。
您可以创建一个或多个角色。创建过程中,注意以下配置:- 可信实体类型:选择 身份提供商。
- 角色名称:建议根据访问阿里云控制台的目的设置角色名称。例如,
cdn_full_access_sso、cdn_read_only_sso等。注意
后续您需要向多云CDN提供角色名称,以完成多云CDN中不同身份(主账号、子用户)的免密登录配置。
- 身份提供商类型:选择 SAML。
- 身份提供商:选择您创建的身份提供商(
mcdn_idp)。
为您创建的角色授予阿里云控制台的访问权限。具体操作步骤,请参考阿里云的相关文档。
授权过程中,请注意以下事项:- 只为角色授予 CDN 相关的权限策略
前往阿里云账号中心,获取阿里云主账号的 ID。
注意
后续您需要向多云CDN提供阿里云主账号 ID,以启用免密登录。
完成以上操作后,请参考启用免密登录,在多云CDN中完成后续配置。在进行后续配置前,请准备好以下信息:
- 身份提供商名称
- 阿里云主账号 ID
- 角色名称
腾讯云角色SSO配置
在多云CDN控制台,从腾讯云账号详情中下载元数据。
下载的元数据文件为
tencent.xml。使用腾讯云账号登录腾讯云访问管理(CAM)控制台。
找到 角色SSO 菜单,创建一个 SAML 类型的身份提供商。具体操作步骤,请参考腾讯云的相关文档。
创建过程中,注意以下配置:身份提供商名称:建议设置为
mcdn_idp。注意
后续您需要向多云CDN提供此处设置的身份提供商名称,以启用免密登录。
元数据文档:上传您从多云CDN获得的元数据文件(
tencent.xml)。
找到 角色 菜单,为 SAML 身份提供商创建对应的角色。具体操作步骤,请参考腾讯云的相关文档。
您可以创建一个或多个角色。创建过程中,注意以下配置:选择角色载体:
选择 身份提供商 作为角色载体。输入角色载体信息:
- 身份提供商类型:选择 SAML。
- 身份提供商:选择您创建的身份提供商(
mcdn_idp)。 - 控制台访问:选择开启。
配置角色策略:
为角色授予腾讯云控制台的访问权限。授权过程中,注意以下事项:- 只为角色授予 CDN 相关的权限策略
审阅:
角色名称:建议根据访问腾讯云控制台的目的设置角色名称。例如,cdn_full_access_sso、cdn_read_only_sso等。注意
后续您需要向多云CDN提供角色名称,以完成多云CDN中不同身份(主账号、子用户)的免密登录配置。
访问腾讯云账号中心,获取腾讯云主账号的 ID。
注意
后续您需要向多云CDN提供腾讯云主账号 ID,以启用免密登录。
完成以上操作后,请参考启用免密登录,在多云CDN中完成后续配置。在进行后续配置前,请准备好以下信息:
- 身份提供商名称
- 腾讯云主账号 ID
- 角色名称
华为云虚拟用户SSO配置
在多云CDN控制台,从阿里云账号详情中下载元数据。
下载的元数据文件为
huawei.xml。使用华为云账号登录华为云统一身份认证服务(IAM)控制台。
找到 身份提供商 菜单,创建一个 SAML 类型的身份提供商。具体操作步骤,请参考华为云的相关文档。
创建过程中,注意以下配置:名称:建议设置为
mcdn_idp。注意
后续您需要向多云CDN提供此处设置的身份提供商名称,以启用免密登录。
协议:选择 SAML。
类型:选择 虚拟用户SSO。
修改刚刚创建的身份提供商的信息,将您从多云CDN获得的元数据文件(
huawei.xml)上传到华为云。具体操作步骤,请参考华为云的相关文档。为 SAML 身份提供商创建身份转换规则。具体操作步骤,请参考华为云的相关文档。
您可以创建多个规则。每条规则定义了一个多云CDN的用户身份在华为云控制台对应的访问权限。
创建过程中,注意以下配置:用户名:建议设置为
FederationUser_mcdn_<access_purpose>
该命名方式表示使用多云CDN的用户身份访问华为云。<access_purpose>表示访问的目的。例如,您可以将其设置为cdn_full_access_sso、cdn_read_only_sso等。用户组:决定了多云CDN的用户身份在华为云控制台的访问权限。多云CDN的用户身份将具备用户组所拥有的权限。您可以参考华为云的相关文档,配置用户组及权限。
授权过程中,请注意以下事项:- 只为角色授予 CDN 相关的权限策略
本规则生效条件 - 值:建议根据访问华为云控制台的目的设置该值。例如,
cdn_full_access_sso、cdn_read_only_sso等。注意
后续您需要向多云CDN提供该值,以完成多云CDN中不同身份(主账号、子用户)的免密登录配置。
访问华为云API凭证页面,获取华为云主账号的 ID。
注意
后续您需要向多云CDN提供华为云主账号 ID,以启用免密登录。
完成以上操作后,请参考启用免密登录,在多云CDN中完成后续配置。在进行后续配置前,请准备好以下信息:
- 身份提供商名称
- 华为云主账号 ID
- 本规则生效条件 - 值(对应于在多云CDN配置的“云服务商的访客身份”)
金山云角色SSO配置
在多云CDN控制台,从金山云账号详情中下载元数据。
下载的元数据文件为
ksyun.xml。使用金山云账号登录金山云访问控制控制台。
找到 角色SSO 菜单,创建一个 SAML 类型的身份提供商。具体操作步骤,请参考金山云的相关文档(第三节内容)。
创建过程中,注意以下配置:身份提供商名称:建议设置为
mcdn_idp。注意
后续您需要向多云CDN提供此处设置的身份提供商名称,以启用免密登录。
元数据文档:上传您从多云CDN获得的元数据文件(
ksyun.xml)。
找到 角色 菜单,为 SAML 身份提供商创建对应的角色。具体操作步骤,请参考金山云的相关文档(第四节内容)。
您可以创建一个或多个角色。创建过程中,注意以下配置:设置授权实体类型:选择 身份提供商。
角色名称:建议根据访问金山云控制台的目的设置角色名称。例如,
cdn_full_access_sso、cdn_read_only_sso等。注意
后续您需要向多云CDN提供角色名称,以完成多云CDN中不同身份(主账号、子用户)的免密登录配置。
设置载体信息:选择您创建的身份提供商(
mcdn_idp)。
为角色添加权限策略。
角色创建成功后,您将进入设置角色权限页面。您需要为角色授予金山云控制台的访问权限。授权过程中,注意以下事项:- 只为角色授予 CDN 相关的权限策略
访问金山云账号管理页面,获取金山云主账号的 ID。
注意
后续您需要向多云CDN提供金山云主账号 ID,以启用免密登录。
完成以上操作后,请参考启用免密登录,在多云CDN中完成后续配置。在进行后续配置前,请准备好以下信息:
- 身份提供商名称
- 金山云主账号 ID
- 角色名称
网宿科技身份提供商配置
在多云CDN控制台,从网宿账号详情中下载元数据。
下载的元数据文件为
wangsu.xml。使用网宿账号登录网宿科技访问控制(IAM)控制台。
找到 身份提供商 菜单,创建一个 SAML 类型的身份提供商。具体操作步骤,请参考网宿科技的相关文档。
创建过程中,注意以下配置:提供商名称:建议设置为
mcdn_idp。注意
- 网宿科技要求提供商名称必须全局唯一,即如果其他租户已经使用了某个名称,您将无法使用相同的名称。
- 后续您需要向多云CDN提供此处设置的身份提供商名称,以启用免密登录。
元数据文档:上传您从多云CDN获得的元数据文件(
wangsu.xml)。
找到 用户 菜单,为 SAML 身份提供商创建对应的 IAM 用户。具体操作步骤,请参考网宿科技的相关文档。
您可以创建一个或多个 IAM 用户,也可以使用已经创建的 IAM 用户。创建过程中,注意以下配置:登录账号:建议根据访问网宿科技控制台的目的设置登录账号名称。例如,
cdn_full_access_sso、cdn_read_only_sso等。注意
- 网宿科技要求登录账号名称必须全局唯一,即如果其他租户已经使用了某个名称,您将无法使用相同的名称。
- 后续您需要向多云CDN提供登录账号名称,以完成多云CDN中不同身份(主账号、子用户)的免密登录配置。
访问渠道:启用 控制台访问。
为您创建的 IAM 用户授予网宿科技控制台的访问权限。具体操作步骤,请参考网宿科技的相关文档。
访问网宿科技账号管理页面,获取网宿科技登录账号的 ID。
注意
后续您需要向多云CDN提供网宿科技登录账号 ID,以启用免密登录。
完成以上操作后,请参考启用免密登录,在多云CDN中完成后续配置。在进行后续配置前,请准备好以下信息:
- 身份提供商名称
- 网宿科技登录账号 ID
- IAM 用户的登录账号名(对应于在多云CDN配置的“云服务商的访客身份”)
百度智能IAM角色联合配置
在多云CDN控制台,从百度智能云账号详情中下载元数据。
下载的元数据文件为
baidu.xml。使用百度智能云账号登录百度智能云多用户访问控制(IAM)控制台。
找到 IAM角色联合 菜单,创建一个 SAML 类型的身份提供者。具体操作步骤,请参考百度智能云的相关文档。
创建过程中,注意以下配置:名称:建议设置为
mcdn_idp。注意
后续您需要向多云CDN提供此处设置的身份提供者名称,以启用免密登录。
元数据文件:上传您从多云CDN获得的元数据文件(
baidu.xml)。
找到 角色管理 菜单,为 SAML 身份提供者创建对应的角色。具体操作步骤,请参考百度智能云的相关文档。
您可以创建一个或多个角色。创建过程中,注意以下配置:角色名称:建议根据访问百度智能云控制台的目的设置角色名称。例如,
cdn_full_access_sso、cdn_read_only_sso等。注意
后续您需要向多云CDN提供角色名称,以完成多云CDN中不同身份(主账号、子用户)的免密登录配置。
载体类型:选择 外部账号。
载体实体:选择您创建的身份提供商(
mcdn_idp)。策略管理:为您创建的角色授予百度智能云控制台的访问权限。
授权过程中,请注意以下事项:- 只为角色授予 CDN 相关的权限策略
前往百度智能云用户中心,获取百度智能云账户的 ID。
注意
后续您需要向多云CDN提供百度智能云账户 ID,以启用免密登录。
完成以上操作后,请参考启用免密登录,在多云CDN中完成后续配置。在进行后续配置前,请准备好以下信息:
- 身份提供者名称
- 百度智能云账户 ID
- 角色名
京东云身份提供商配置
在多云CDN控制台,从京东云账号详情中下载元数据。
下载的元数据文件为
jingdong.xml。使用京东云账号登录京东云访问控制(IAM)控制台。
找到 身份提供商管理 菜单,创建一个 SAML 2.0 类型的身份提供商。具体操作步骤,请参考京东云的相关文档。
创建过程中,注意以下配置:身份提供商名称:建议设置为
mcdn_idp。注意
后续您需要向多云CDN提供此处设置的身份提供商名称,以启用免密登录。
SAML 元数据:上传您从多云CDN获得的元数据文件(
jingdong.xml)。
找到 角色管理 菜单,为 SAML 身份提供商创建对应的角色。具体操作步骤,请参考京东云的相关文档。
您可以创建一个或多个角色。创建过程中,注意以下配置:- 选择角色类型:选择 联合身份角色。
- 角色名:建议根据访问京东云控制台的目的设置角色名称。例如,
cdn_full_access_sso、cdn_read_only_sso等。注意
后续您需要向多云CDN提供角色名称,以完成多云CDN中不同身份(主账号、子用户)的免密登录配置。
- 信任关系:选择您创建的身份提供商(
mcdn_idp)。
创建角色后,为角色授予京东云控制台的访问权限。具体操作步骤,请参考京东云的相关文档。
授权过程中,注意以下事项:- 只为角色授予 CDN 相关的权限策略
访问京东云账户管理,获取京东云主账号的 租户编码。
注意
后续您需要向多云CDN提供京东云主账号的租户编码(即云账号 ID),以启用免密登录。
完成以上操作后,请参考启用免密登录,在多云CDN中完成后续配置。在进行后续配置前,请准备好以下信息:
- 身份提供商名称
- 京东云主账号租户编码
- 角色名
AWS角色SSO配置
在多云CDN控制台,从 AWS 账号详情中下载元数据。
下载的元数据文件为
aws.xml。使用 AWS 账号登录 AWS IAM 控制台。
找到 身份提供商 菜单,创建一个 SAML 类型的身份提供商。具体操作步骤,请参考 AWS 的相关文档。
创建过程中,注意以下配置:配置提供商:选择 SAML。
名称:建议设置为
mcdn_idp。注意
后续您需要向多云CDN提供此处设置的身份提供商名称,以启用免密登录。
元数据文档:上传您从多云CDN获得的元数据文件(
aws.xml)。
找到 角色 菜单,为 SAML 身份提供商创建对应的角色。具体操作步骤,请参考 AWS 的相关文档。
您可以创建一个或多个角色。创建过程中,注意以下配置:受信任实体的类型:选择 SAML 2.0 身份联合。
SAML 提供商:选择您创建的身份提供商(
mcdn_idp)并选中 允许编程访问和 AWS 管理控制台访问。
角色名称:建议根据访问 AWS 控制台的目的设置角色名称。例如,
cdn_full_access_sso、cdn_read_only_sso等。注意
后续您需要向多云CDN提供角色名称,以完成多云CDN中不同身份(主账号、子用户)的免密登录配置。
权限策略:为您创建的角色授予 AWS 控制台的访问权限。
授权过程中,请注意以下事项:- 只为角色授予 CloudFront 相关的权限策略
前往 AWS 账户设置页面,获取 AWS 账户的 ID。
注意
后续您需要向多云CDN提供 AWS 账户 ID,以启用免密登录。
完成以上操作后,请参考启用免密登录,在多云CDN中完成后续配置。在进行后续配置前,请准备好以下信息:
- 身份提供商名称
- AWS 账户 ID
- 角色名称
Akamai用户SSO配置
在多云CDN控制台,从 Akamai 账号详情中下载元数据。
下载的元数据文件为
akamai.xml。使用 Akamai 账号登录 Akamai IAM 控制台。
在 Akamai 控制台创建 SAML 身份提供商。具体操作步骤,请参考 Akamai 的相关文档。
创建过程中,注意以下配置:您需要通过 Create new configuration 来添加身份提供商。添加过程中,点击右上角的导入按钮,并选择 From an XML file,然后导入您从多云CDN获得的元数据文件(
akamai.xml)
Identity element:选择 Name ID。
其它配置项使用默认值(或按需进行设置)。
前往 Control Center,获取用户身份标识。
您可以在 Users and API Clients 页签下获取 User ID/Client Owner 的值。这里的 User ID/Client Owner 表示多云CDN的用户身份在访问 Akamai 控制台时对应的访客身份。注意
后续您需要向多云CDN提供 User ID/Client Owner(对应于在多云CDN配置的“云角色”),以完成多云CDN中不同身份(主账号、子用户)的免密登录配置。
完成以上操作后,请参考启用免密登录,在多云CDN中完成后续配置。在进行后续配置前,请准备好以下信息:
- User ID/Client Owner(对应于在多云CDN配置的“云服务商的访客身份”)