Autenticação federada para contas corporativas
Cenário
Empresas com várias contas na nuvem pública podem acessar os recursos sob essas contas por meio de seu próprio sistema de IdP. Para atingir esse objetivo, eles podem chamar APIs para configurar a autenticação de identidade federada.
Esta seção descreve como implementar a autenticação automática federada chamando APIs.
Pré-requisitos
Somente administradores podem executar as operações de registro e importação descritas nesta seção. Certifique-se de que lhe foi atribuída a função de Security Administrator.
Procedimento geral
Execute as etapas a seguir para configurar a autenticação de identidade federada para várias contas na nuvem:
- Registre um provedor de identidade.
- Registre um mapeamento.
- Registre um protocolo.
- Importe um arquivo de metadados.
- Efetue login como um usuário federado.
As seguintes APIs serão usadas neste exemplo:
- Registração de um provedor de identidade
- Registração de um mapeamento
- Registração de um protocolo
- Importação de um arquivo de metadados
Passo 1: Registre um provedor de identidade
URI: PUT /v3/OS-FEDERATION/identity_providers/{id}
Para obter detalhes sobre a API, consulte Criação de um provedor de identidade.
- Exemplo de solicitação
PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/{id}{ "identity_provider":{ "description":"Stores ACME identities.", "enabled":true } }
- Exemplo de resposta
{ "identity_provider": { "remote_ids": [], "enabled": true, "id": "ACME", "links": { "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME", "protocols": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME/protocols" }, "description": "Stores ACME identities." } }
Passo 2: Registre um mapeamento
URI: PUT /v3/OS-FEDERATION/mappings/{id}
Para obter detalhes sobre a API, consulte Registração de um mapeamento.
- Exemplo de solicitação
PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/mappings/{id}{ "mapping":{ "rules":[ { "local":[ { "user":{ "name":"LocalUser" } }, { "group":{ "name":"LocalGroup" } } ], "remote":[ { "type":"UserName" }, { "not_any_of":[ "Contractor", "Guest" ], "type":"orgPersonType" } ] } ] } } - Exemplo de resposta
{ "mapping":{ "id":"ACME", "links":{ "self":"https://iam.myhuaweicloud.com/v3/OS-FEDERATION/mappings/ACME" }, "rules":[ { "local":[ { "user":{ "name":"LocalUser" } }, { "group":{ "name":"LocalGroup" } } ], "remote":[ { "type":"UserName" }, { "not_any_of":[ "Contractor", "Guest" ], "type":"orgPersonType" } ] } ] } }
Passo 3: Registre um protocolo
URI: PUT /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}
Para obter detalhes sobre a API, consulte Registração de um protocolo.
- Exemplo de solicitação
PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}{ "protocol":{ "mapping_id":"ACME" } }
- Exemplo de resposta
{ "protocol":{ "id":"saml", "links":{ "identity_provider":"https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME", "self":"https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME/protocols/saml" }, "mapping_id":"ACME" } }
Passo 4: Importe um arquivo de metadados
URI: POST /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata
Para obter detalhes sobre a API, consulte Importação de um arquivo de metadados.
- Exemplo de solicitação
POST https://iam.myhuaweicloud.com/v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata{ "domain_id":"d78cbac186b744899480f25bd022....", "metadata":"$metadataContent", "xaccount_type":"" }
- Exemplo de resposta
{ "message":"Import metadata successful" }
Passo 5: Efetue login como um usuário federado
Após concluir a autenticação federada, faça login como um usuário federado seguindo as instruções fornecidas em Provedores de identidade.
