Configuração da autenticação de identidade federada baseada em SAML
Esta seção descreve o processo e a configuração da autenticação de identidade federada baseada em SAML entre um IdP empresarial e a HUAWEI CLOUD.
![](https://support.huaweicloud.com/intl/pt-br/usermanual-iam/public_sys-resources/caution_3.0-pt-br.png)
Certifique-se de que o IdP empresarial suporta ao SAML 2.0.
Configuração de Autenticação de identidade federada
Para implementar a autenticação de identidade federada entre um sistema de gerenciamento empresarial e a HUAWEI CLOUD, conclua a seguinte configuração:
- Estabelecer uma relação de confiança e criar um provedor de identidade: Troque os arquivos de metadados do IdP empresarial e da HUAWEI CLOUD (consulte Figura 1).
- Configurar regras de conversão de identidade: Mapeie os usuários, grupos de usuários e permissões no IdP empresarial para a HUAWEI CLOUD (consulte Figura 2).
- Configurar um link de login: Configure um link de login (consulte Figura 3) no sistema de gerenciamento empresarial para permitir que os usuários acessem a HUAWEI CLOUD por meio do SSO.
Processo de autenticação de identidade federada
Figura 4 mostra a interação entre um sistema de gerenciamento empresarial e a HUAWEI CLOUD depois de um usuário iniciar uma solicitação SSO.
![](https://support.huaweicloud.com/intl/pt-br/usermanual-iam/public_sys-resources/note_3.0-pt-br.png)
Para visualizar afirmações e solicitações interativas com uma experiência melhor, recomendamos que você use o Google Chrome e instale o plug-in SAML Message Decoder.
Conforme mostrado em Figura 4, o processo de autenticação de identidade federada é o seguinte:
- Um usuário usa um navegador para abrir o link de login do provedor de identidade e, em seguida, o navegador envia uma solicitação SSO para a HUAWEI CLOUD.
- A HUAWEI CLOUD procura um arquivo de metadados com base no link de login e envia uma SAML request ao navegador.
- O navegador encaminha a SAML request para o IdP empresarial.
- O usuário insere seu nome de usuário e senha na página de login exibida no IdP da empresa. Depois de o IdP empresarial autentica a identidade do usuário, ele constrói uma asserção SAML contendo as informações do usuário e envia a asserção para o navegador como SAML response.
- O navegador responde e encaminha a SAML response para a HUAWEI CLOUD.
- A HUAWEI CLOUD analisa a asserção na SAML response e emite um token para o usuário depois de identificar o grupo para o qual o usuário está mapeado, de acordo com as regras de conversão de identidade configuradas.
- Se o login for bem-sucedido, o usuário acessa a HUAWEI CLOUD com sucesso.
A asserção deve levar uma assinatura; caso contrário, o login falhará.