Autenticação federada para contas empresariais
Cenário
Empresas com várias contas na nuvem pública podem acessar os recursos sob essas contas por meio de seu próprio sistema de IdP. Para atingir esse objetivo, elas podem chamar APIs para configurar a autenticação de identidade federada.
Esta seção descreve como implementar a autenticação automática federada chamando APIs.
Pré-requisitos
Somente administradores podem executar as operações de registro e importação descritas nesta seção. Certifique-se de que a função Security Administrator tenha sido atribuída a você.
Procedimento geral
Execute as etapas a seguir para configurar a autenticação de identidade federada para várias contas na nuvem:
- Registre um provedor de identidade.
- Registre um mapeamento.
- Registre um protocolo.
- Importe um arquivo de metadados.
- Efetue logon como um usuário federado.
As seguintes APIs serão usadas neste exemplo:
- Registro de um provedor de identidade
- Registro de um mapeamento
- Registro de um protocolo
- Importação de um arquivo de metadados
Etapa 1: registrar um provedor de identidade
URI: PUT /v3/OS-FEDERATION/identity_providers/{id}
Para obter detalhes sobre a API, consulte Criação de um provedor de identidade.
- Exemplo de solicitação
PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/{id}{ "identity_provider":{ "description":"Stores ACME identities.", "enabled":true } }
- Exemplo de resposta
{ "identity_provider": { "remote_ids": [], "enabled": true, "id": "ACME", "links": { "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME", "protocols": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME/protocols" }, "description": "Stores ACME identities." } }
Etapa 2: registrar um mapeamento
URI: PUT /v3/OS-FEDERATION/mappings/{id}
Para obter detalhes sobre a API, consulte Registro de um mapeamento.
- Exemplo de solicitação
PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/mappings/{id}{ "mapping":{ "rules":[ { "local":[ { "user":{ "name":"LocalUser" } }, { "group":{ "name":"LocalGroup" } } ], "remote":[ { "type":"UserName" }, { "not_any_of":[ "Contractor", "Guest" ], "type":"orgPersonType" } ] } ] } } - Exemplo de resposta
{ "mapping":{ "id":"ACME", "links":{ "self":"https://iam.myhuaweicloud.com/v3/OS-FEDERATION/mappings/ACME" }, "rules":[ { "local":[ { "user":{ "name":"LocalUser" } }, { "group":{ "name":"LocalGroup" } } ], "remote":[ { "type":"UserName" }, { "not_any_of":[ "Contractor", "Guest" ], "type":"orgPersonType" } ] } ] } }
Etapa 3: registrar um protocolo
URI: PUT /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}
Para obter detalhes sobre a API, consulte Registro de um protocolo.
- Exemplo de solicitação
PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}{ "protocol":{ "mapping_id":"ACME" } }
- Exemplo de resposta
{ "protocol":{ "id":"saml", "links":{ "identity_provider":"https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME", "self":"https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME/protocols/saml" }, "mapping_id":"ACME" } }
Etapa 4: importar um arquivo de metadados
URI: POST /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata
Para obter detalhes sobre a API, consulte Importação de um arquivo de metadados.
- Exemplo de solicitação
POST https://iam.myhuaweicloud.com/v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata{ "domain_id":"d78cbac186b744899480f25bd022....", "metadata":"$metadataContent", "xaccount_type":"" }
- Exemplo de resposta
{ "message":"Import metadata successful" }
Etapa 5: efetuar logon como um usuário federado
Configure a autenticação federada. Para obter detalhes, consulte Provedores de identidade.
