Introdução
A HUAWEI CLOUD fornece a função de provedor de identidade para implementar a autenticação de identidade federada com base em SAML (Security Assertion Markup Language) ou OpenID Connect. Essa função permite que os usuários em seu sistema de gerenciamento empresarial acessem a HUAWEI CLOUD por meio de logon único (SSO).
O IAM suporta dois tipos de autenticação de identidade federada:
- Web SSO: Os navegadores são usados como meio de comunicação. Esse tipo de autenticação permite que usuários comuns acessem a HUAWEI CLOUD usando navegadores. Você pode implementar o SSO usando um dos seguintes métodos:
- Configure um link de login no sistema de gerenciamento empresarial. Os usuários da sua empresa podem usar o link para fazer login na HUAWEI CLOUD a partir do sistema de gerenciamento empresarial.
- Forneça o link de login de usuário federado aos usuários da sua empresa. Eles podem fazer login na HUAWEI CLOUD usando suas contas e senhas no sistema de gerenciamento empresarial.
- Chamada da API: Ferramentas de desenvolvimento (como OpenStack Client e ShibbolethECP Client) são usadas como meios de comunicação. Esse tipo de autenticação permite que os usuários empresariais e os usuários comuns acessem a HUAWEI CLOUD chamando as APIs.
Este capítulo descreve como acessar a HUAWEI CLOUD por meio de login via Web SSO. Para obter detalhes sobre como acessar a HUAWEI CLOUD chamando APIs, consulte Gerenciamento de autenticação de identidade federada.
Conceitos básicos
- Provedor de Identidade (IdP)
Um provedor de identidade recolhe e armazena informações de identidade do usuário, como nomes de usuários e senhas, e autentica os usuários durante o login. Para a autenticação de identidade federada entre uma empresa e HUAWEI CLOUD, o sistema de autenticação de identidade da empresa é um provedor de identidade e também é chamado por "enterprise IdP". Os IdPs de terceiros populares incluem o Microsoft Active Directory Federation Services (AD FS) e Shibboleth.
- Provedor de serviços (SP)
Um provedor de serviços estabelece uma relação de confiança entre um IdP e ele mesmo, e usa as informações do usuário fornecidas pelo IdP para fornecer serviços. Para a autenticação de identidade federada entre uma empresa e a HUAWEI CLOUD, HUAWEI CLOUD é um provedor de serviços.
- Autenticação de identidade federada
A autenticação de identidade federada é um processo no qual uma relação de confiança é estabelecida entre um IdP e um SP para implementar o SSO.
- Logon único (SSO)
O SSO é um tipo de acesso que permite que os usuários acessem um SP confiável após efetuar login no IdP empresarial. Por exemplo, após uma relação de confiança ser estabelecida entre um sistema de gerenciamento empresarial e HUAWEI CLOUD, os usuários no sistema de gerenciamento empresarial podem usar suas contas e senhas existentes para acessar a HUAWEI CLOUD através do link de login no sistema de gerenciamento empresarial.
- SAML 2.0
O SAML 2.0 é um protocolo baseado em XML que usa securityTokens contendo asserções para passar informações sobre um usuário final entre um IdP e um SP. É um padrão aberto ratificado pela OASIS (Organização para o Avanço de Padrões de Informação Estruturada) e está sendo usado por vários IdPs. Para obter mais informações sobre esse padrão, consulte Visão geral técnica do SAML 2.0. A HUAWEI CLOUD implementa autenticação de identidade federada em conformidade com o SAML 2.0. Para federar com sucesso os usuários existentes à HUAWEI CLOUD, certifique-se de que seu IdP empresarial seja compatível com este protocolo.
- OpenID Connect
O OpenID Connect é uma camada de identidade simples em cima do protocolo Open Authorization 2.0 (OAuth 2.0). O IAM implementa a autenticação de identidade federada em conformidade com o OpenID Connect 1.0. Para federar com sucesso os usuários existentes à HUAWEI CLOUD, certifique-se de que seu IdP empresarial seja compatível com este protocolo. Para obter mais informações sobre o OpenID Connect, consulte Bem-vindo ao OpenID Connect.
- OAuth 2.0
OAuth 2.0 é um protocolo de autorização aberto. A estrutura de autorização deste protocolo permite que aplicações de terceiros obtenham permissões de acesso.
Vantagens de autenticação de identidade federada
- Facilidade no gerenciamento de usuários
Como um administrador, você só precisa criar usuários em seu sistema de gerenciamento empresarial. Os usuários podem usar suas próprias contas para acessar o sistema de gerenciamento empresarial e HUAWEI CLOUD.
- Operações simplificadas
Os usuários podem fazer login na HUAWEI CLOUD através do sistema de gerenciamento empresarial.
Figura 1 Vantagens de autenticação de identidade federada
Precauções
- Para implementar a autenticação de identidade federada, certifique-se de que o servidor IdP da sua empresa e HUAWEI CLOUD usam o horário GMT (Greenwich Mean Time) no mesmo fuso horário.
- Os usuários federados são identidades virtuais que seu IdP empresarial mapeia para HUAWEI CLOUD. As informações de identidade dos usuários federados são armazenadas no IdP empresarial, portanto, seu acesso à HUAWEI CLOUD tem as seguintes restrições:
- Os usuários federados não podem executar verificação ao executar operações críticas. As configurações de proteção de operação crítica não se aplicam a usuários federados.
- Os usuários federados não podem criar chaves de acesso com validade ilimitada, mas podem obter credenciais de acesso temporárias (chaves de acesso e securityTokens) usando tokens de usuário ou agência. Para obter detalhes, consulte Obtenção de uma chave de acesso e SecurityToken.
Se um usuário federado precisar de uma chave de acesso com validade ilimitada, ele poderá entrar em contato com o administrador da conta ou com um usuário do IAM para criar uma. Uma chave de acesso contém as permissões concedidas a um usuário, portanto, é recomendável que o usuário federado solicite que um usuário do IAM no mesmo grupo crie uma chave de acesso.
