Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda/ Identity and Access Management/ Guia de usuário/ Provedores de identidade/ Introdução

Atualizado em 2024-08-31 GMT+08:00

Ver PDF

Introdução

A Huawei Cloud fornece federação de identidade baseada em SAML (Security Assertion Markup Language) ou OpenID Connect. Essa função permite que os usuários em seu sistema de gerenciamento empresarial acessem a Huawei Cloud por meio de logon único (SSO).

Conceitos básicos

**Tabela 1** Conceitos básicos
Conceito	Descrição
Provedor de identidade (IdP)	Um IdP coleta e armazena informações de identidade do usuário, como nomes de usuário e senhas, e autentica os usuários durante o logon. Para a federação de identidade entre uma empresa e a Huawei Cloud, o sistema de autenticação de identidade da empresa é um provedor de identidade e também é chamado de "IdP empresarial". Os IdPs de terceiros mais populares incluem os Serviços de Federação do Active Directory (AD FS) de Microsoft e o Shibboleth.
Provedor de serviços (SP)	Um provedor de serviços estabelece uma relação de confiança com um IdP e fornece serviços com base nas informações do usuário fornecidas pelo IdP. Para federação de identidade entre uma empresa e a Huawei Cloud, a Huawei Cloud é um provedor de serviços.
Federação de identidade	A federação de identidade é o processo de estabelecer uma relação de confiança entre um IdP e um SP para implementar o SSO.
Logon único (SSO)	O SSO permite que os usuários acessem um SP confiável após efetuar logon no IdP empresarial. Por exemplo, depois que uma relação de confiança é estabelecida entre um sistema de gerenciamento empresarial e a Huawei Cloud, os usuários no sistema de gerenciamento empresarial podem usar suas contas e senhas existentes para acessar a Huawei Cloud por meio do link de logon no sistema de gerenciamento empresarial. A Huawei Cloud oferece suporte a dois tipos de SSO: SSO de usuário virtual e SSO de usuário do IAM.
SAML 2.0	A SAML 2.0 é um protocolo baseado em XML que usa tokens de segurança contendo asserções para passar informações sobre um usuário final entre um IdP e um SP. É um padrão aberto ratificado pela Organização para o Avanço de Padrões de Informação Estruturada (OASIS) e está sendo usado por muitos IdPs. Para obter mais informações sobre esse padrão, consulte Visão geral técnica de SAML 2.0. A Huawei Cloud implementa a federação de identidade em conformidade com SAML 2.0. Para federar com sucesso seus usuários empresariais com a Huawei Cloud, certifique-se de que seu IdP empresarial seja compatível com este protocolo.
OpenID Connect	OpenID Connect é uma camada de identidade simples sobre o protocolo Open Authorization 2.0 (OAuth 2.0). O IAM implementa a federação de identidade em conformidade com OpenID Connect 1.0. Para federar com sucesso seus usuários empresariais com a Huawei Cloud, certifique-se de que seu IdP empresarial seja compatível com este protocolo. Para obter mais informações sobre OpenID Connect, consulte Introdução ao OpenID Connect.
OAuth 2.0	OAuth 2.0 é um protocolo de autorização aberto. A estrutura de autorização deste protocolo permite que aplicações de terceiros obtenham permissões de acesso.

Vantagens da federação de identidade

Gerenciamento fácil de identidade
Com um provedor de identidade, o administrador pode gerenciar as identidades da força de trabalho fora da Huawei Cloud e conceder a essas identidades externas da força de trabalho permissões para usar recursos na Huawei Cloud.
Operações simplificadas
Os usuários da força de trabalho podem usar suas contas existentes na empresa para acessar a Huawei Cloud por meio do SSO.

Figura 1 Vantagens da federação de identidade

Tipo de SSO

O IAM oferece suporte a dois tipos de SSO: SSO de usuário virtual e SSO de usuário do IAM. Para obter detalhes sobre como escolher um tipo de SSO, consulte Cenários de aplicações de SSO de usuário virtual e SSO de usuário do IAM.

SSO de usuário virtual
Depois que um usuário federado fizer logon na Huawei Cloud, o sistema cria automaticamente um usuário virtual e concede permissões de acesso ao usuário virtual com base nas regras de conversão de identidade configuradas.
SSO de usuário do IAM
Depois que um usuário federado faz logon na Huawei Cloud, o sistema mapeia automaticamente o ID de identidade externa para um usuário do IAM para que o usuário federado tenha as permissões do usuário do IAM mapeado.

Atualmente, o IAM oferece suporte a dois métodos de logon federados: SSO baseado em navegador (SSO da Web) e SSO via chamada de API.

SSO da Web: os navegadores são usados como meio de comunicação. Esse tipo de autenticação permite que usuários comuns acessem a Huawei Cloud usando navegadores. Você pode iniciar o SSO da Web a partir do lado do IdP ou do SP.
- SSO iniciado por IdP: configure um link de logon no sistema de gerenciamento empresarial. Os funcionários da sua empresa podem usar o link para fazer logon na Huawei Cloud a partir do sistema de gerenciamento empresarial.
- SSO iniciado por SP: a Huawei Cloud fornece a entrada de logon de usuário federado. Os funcionários da sua empresa podem inserir uma conta da Huawei Cloud e escolher o IdP da empresa na página de logon para acessar a Huawei Cloud.
SSO via chamada de API: funcionários empresariais chamam APIs usando ferramentas de desenvolvimento (como OpenStack Client e ShibbolethECP Client) para acessar a Huawei Cloud.

**Tabela 2** Logons federados
Tipo de SSO	Protocolos suportados	SSO da Web	Chamada de API	Iniciado pelo IdP	Iniciado pelo SP	Vários IdPs
Usuário virtual	SAML 2.0 e OpenID Connect	Compatível	Compatível	Compatível	Compatível	Compatível
Usuário do IAM	SAML 2.0	Compatível	Compatível	Compatível	Compatível	Não compatível

Este capítulo descreve como acessar a Huawei Cloud por meio do logon SSO da Web. Para obter detalhes sobre como acessar a Huawei Cloud chamando APIs, consulte Gerenciamento de federação de identidade.

Precauções

Certifique-se de que seu servidor de IdP empresarial e a Huawei Cloud usem o Horário do Meridiano de Greenwich (GMT) no mesmo fuso horário.
As informações de identidade (como endereço de e-mail ou número de celular) de usuários federados são armazenadas no IdP empresarial. Os usuários federados são mapeados para a Huawei Cloud como identidades virtuais, portanto, seu acesso à Huawei Cloud tem as seguintes restrições:
- Os usuários federados não precisam executar uma verificação em duas etapas ao executar operações críticas, mesmo que a proteção de operação crítica (proteção de logon ou proteção de operação) esteja ativada.
- Os usuários federados não podem criar chaves de acesso com validade ilimitada, mas podem obter credenciais de acesso temporárias (chaves de acesso e tokens de segurança) usando tokens de usuário ou agência. Para obter detalhes, consulte Obtenção de uma chave de acesso temporária e de um token de segurança por meio de um token.
  Se um usuário federado precisar de uma chave de acesso com validade ilimitada, ele poderá entrar em contato com o administrador da conta ou com um usuário do IAM para criar uma. Uma chave de acesso contém as permissões concedidas a um usuário, portanto, é recomendável que o usuário federado solicite que um usuário do IAM no mesmo grupo crie uma chave de acesso.