在IAM中將AD FS配置為可信SAML IdP

1. 下載AD FS的元數據XML文件。
2. 在IAM控制臺使用下載好的元數據文件完成配置。具體步驟請參考用戶SSO概覽中的配置步驟-天翼云配置。

說明
如果元數據文件超過大小限制，可以刪除fed:ClaimTypesRequested和fed:ClaimTypesOffered中的所有內容。

在AD FS中將天翼云配置為信任方和配置映射關系

1. 在管理工具-AD FS管理中，點擊信任關系，右鍵點擊信賴方信任，點擊添加信賴方信任。

   

2. 選擇“導入有關在線或本地網絡上發布的信賴方的數據”。填寫鏈接如下：
   //iam.daliqc.cn/static/files/ctyun-federation-sp-%E7%94%9F%E4%BA%A7%E7%8E%AF%E5%A2%83.xml
   

3. 其他信賴方選項按照默認配置，點擊下一步直到完成。點擊編輯聲明規則。在頒發轉換規則中，點擊添加規則。
   

   

4. 配置名稱 ID聲明。勾選使用轉換傳入聲明,傳出聲明選擇名稱ID，傳入聲明選UPN。
   

   

5. 配置身份提供商Id聲明。勾選以聲明方式發送組成員身份，傳出聲明為idpId,傳出聲明值在身份提供商配置查看。
   

   

   

6. 配置AD用戶與天翼云IAM用戶的映射關系。在進行IAM用戶映射登錄時，支持以下兩種方式配置AD用戶與天翼云IAM用戶的映射關系。建議以郵箱匹配（b）的方式完成用戶映射。

注意
如果兩種配置都進行了配置，會以a方式中所示的userId優先進行匹配。因此如果需要使用b方式中按照郵箱匹配的方案，請先刪除配置的對userId的映射。

7. 配置天翼云IAM用戶的映射，您可以從以下兩種方式中選擇一種完成映射。
   1. 配置天翼云IAM用戶的userId完成映射。這一方式采用天翼云IAM用戶的userId和AD用戶進行映射配置，具體操作如下：在編輯聲明規則中，勾選以聲明方式發送組成員身份，傳出聲明為userId，傳出聲明值為天翼云用戶ID。

注意
這條映射代表將指定用戶組下的成員，都映射為天翼云中的一個IAM用戶。如果需要進行多條映射，需要設置多條同類規則，例如：AD FS用戶組A映射為IAM用戶a，AD FS用戶組B映射為IAM用戶b。

3. 配置天翼云IAM用戶的郵箱以完成映射（推薦）。這一方式采用天翼云IAM用戶的郵箱與AD用戶進行映射配置，具體操作如下：在編輯聲明規則中，選擇轉換傳入聲明，在傳入聲明類型中，勾選UPN；在傳出聲明類型中，輸入email。如果UPN能夠與天翼云用戶的郵箱匹配，請勾選傳遞所有聲明值，例如，AD用戶登錄的UPN為testUser@cty.cn，則需要新建一個天翼云IAM子用戶，郵箱為testUser@cty.cn，以此類推為不同的AD用戶完成匹配。

注意
如果天翼云用戶郵箱后綴和AD用戶的UPN不同，可以選擇將傳入電子郵件后綴替換為新電子郵件后綴，并填寫電子郵件后綴，例如AD用戶testUser@cty.cn，配置將傳入電子郵件后綴替換為新電子郵件后綴，填寫新后綴為aduser.cn，則可以匹配到天翼云IAM子用戶testUser@aduser.cn。

8. 配置賬戶Id聲明。勾選使用轉換傳入聲明,傳出聲明為accountId,配置規則如下，傳入賬戶的唯一標識，可以UPN、email、IDP側用戶ID、主SID。

9. 配置UPN轉換規則，傳入聲明為UPN，傳出聲明固定輸入nickName。