Passo 1: criar um provedor de identidade
Para estabelecer uma relação de confiança entre um IdP empresarial e a HUAWEI CLOUD, faça upload do arquivo de metadados da HUAWEI CLOUD para o IdP empresarial e, em seguida, crie um provedor de identidade e faça upload do arquivo de metadados do IdP empresarial no console do IAM.
Pré-requisitos
- Você registrou uma conta na HUAWEI CLOUD como um administrador empresarial e criou grupos de usuários e concedeu a eles permissões no IAM. Para obter detalhes, consulte Criação de um grupo de usuários e atribuição de permissões. Os grupos de usuários criados no IAM serão usados para atribuir permissões a usuários de IdP empresarial mapeados para a HUAWEI CLOUD.
- Você leu a documentação do IdP empresarial ou entendeu como usar o IdP empresarial. As configurações dos IdPs diferentes empresariais existem muitas diferenças, por isso, não são descritas neste documento. Para obter detalhes sobre como obter o arquivo de metadados do IdP empresarial e como fazer upload dos metadados da HUAWEI CLOUD para o IdP empresarial, consulte a documentação do IdP.
Estabelecimento de uma relação de confiança entre o IdP empresarial e a HUAWEI CLOUD
O arquivo de metadados da HUAWEI CLOUD precisa ser configurado no IdP empresarial para estabelecer uma relação de confiança entre os dois sistemas.
- Faça download do arquivo de metadados da HUAWEI CLOUD.
Visite https://auth-intl.huaweicloud.com/authui/saml/metadata.xml (O Google Chrome é recomendado). Faça download do arquivo de metadados da HUAWEI CLOUD e defina o nome do arquivo, por exemplo, SP-metadata.xml.
- Faça upload do arquivo de metadados para o servidor de IdP empresarial. Para obter detalhes sobre como fazer upload do arquivo de metadados, consulte a documentação do seu IdP empresarial.
- Obtenha o arquivo de metadados do IdP empresarial. Para obter detalhes sobre como obter o arquivo de metadados, consulte a documentação do seu IdP empresarial.
Criação de um provedor de identidade na HUAWEI CLOUD
Crie um provedor de identidade e configure o arquivo de metadados no IAM.
- Faça login no console do IAM, escolha Identity Providers no painel de navegação e clique em Create Identity Provider no canto superior direito.
- Especifique o nome, o protocolo, o tipo de SSO, o status e a descrição do provedor de identidade.
Tabela 1 Parâmetros básicos de um provedor de identidade Parâmetro
Descrição
Nome
Nome do provedor de identidade. O nome do provedor de identidade deve ser exclusivo em sua conta.
Protocolo
Protocolo do provedor de Identidade. A HUAWEI CLOUD suporta provedores de identidade SAML e OpenID Connect. Para obter detalhes sobre como configurar a autenticação de identidade federada baseada em OpenID Connect, consulte Autenticação de identidade federada baseada em OpenID Connect.
Tipo SSO
Tipo do provedor de identidade. Apenas um tipo de SSO de provedor de identidade pode ser criado sob uma conta.
- Virtual user: Depois de um usuário fazer login na HUAWEI CLOUD por meio de um provedor de identidade, o sistema cria automaticamente uma identidade virtual para o usuário. Vários provedores de identidade do tipo SSO de usuário virtual podem ser criados sob uma conta.
- IAM user: Depois de um usuário fazer login na HUAWEI CLOUD por meio de um provedor de identidade, o sistema mapeia o usuário para um usuário do IAM com base nas regras de conversão de identidade configuradas. Apenas um provedor de identidade do tipo SSO de usuário do IAM pode ser criado sob uma conta. Se você selecionar esse tipo, certifique-se de que criou um usuário do IAM e defina a ID de identidade externa. Para obter detalhes, consulte Criação de um usuário do IAM.
Status
Status do provedor de identidade. O valor padrão é Enabled.
- Clique em OK.
Configuração do arquivo de metadados do provedor de identidade
Configure o arquivo de metadados do IdP empresarial na HUAWEI CLOUD. Você pode fazer upload ou editar manualmente as configurações de metadados no IAM. Para um arquivo de metadados maior que 500 KB, configure manualmente os metadados. Se os metadados tiverem sido alterados, faça upload do arquivo de metadados mais recente ou edite os metadados existentes para garantir que os usuários federados possam fazer login na HUAWEI CLOUD com êxito.
Para obter detalhes sobre como obter o arquivo de metadados, consulte a documentação do IdP empresarial.
- Fazer upload de um arquivo de metadados.
- Clique em Modify na linha contendo o provedor de identidade.
- Clique em Select File e selecione o arquivo de metadados que você obteu.
Figura 1 O upload de um arquivo de metadados
- Clique em Upload. Os metadados extraídos do arquivo carregado são exibidos. Clique em OK.
- Se o arquivo de metadados carregado contiver vários provedores de identidade, selecione o provedor de identidade que deseja usar na lista suspensa Entity ID.
- Se uma mensagem for exibida indicando que nenhum entity ID é especificado ou que o signing certificate expirou, verifique o arquivo de metadados e faça upload novamente ou configure os metadados manualmente.
- Clique em OK.
- Configurar metadados manualmente.
- Clique em Manually configure.
Figura 2 Configuração manual de metadados
- Na caixa de diálogo Configure Metadata, defina os parâmetros de metadados, como entity ID, signing certificate e SingleSignOnService.
Parâmetro
Obrigatório
Descrição
Entity ID
Sim
O identificador exclusivo de um provedor de identidade. Inserir o valor de entityID exibido no arquivo de metadados do IdP empresarial.
Se o arquivo de metadados contiver vários provedores de identidade, escolha aquele que você deseja usar.
Protocolo
Sim
O protocolo SAML é usado para autenticação de identidade federada entre um IdP empresarial e um SP.
O sistema gera automaticamente um valor depois de selecionar o protocolo.
NameIdFormat
Não
Inserir o valor NameIdFormat exibido no arquivo de metadados.
Esse parâmetro indica o nome de usuário e o formato de ID usados para comunicação entre o provedor de identidade e os usuários federados.
Se você configurar vários valores, a HUAWEI CLOUD usará o primeiro valor por padrão.
Signing Certificate
Sim
Inserir o valor <X509Certificate> exibido no arquivo de metadados.
Um signing certificate é um certificado de chave pública usado para verificação de assinatura. Para fins de segurança, insira uma chave pública contendo pelo menos 2048 bits. O signing certificate é usado durante a autenticação de identidade federada para garantir que as afirmações sejam confiáveis e completas.
Se você configurar vários valores, a HUAWEI CLOUD usará o primeiro valor por padrão.
SingleSignOnService
Sim
Inserir o valor SingleSignOnService exibido no arquivo de metadados.
Esse parâmetro define como as solicitações SAML são enviadas durante o processo de SSO. O parâmetro SingleSignOnService no arquivo de metadados deve suportar HTTP Redirect ou HTTP POST.
Se você configurar vários valores, a HUAWEI CLOUD usará o primeiro valor por padrão.
SingleLogoutService
Não
Inserir o valor SingleLogoutService exibido no arquivo de metadados.
Este parâmetro indica o endereço para o qual os utilizadores federados serão redireccionados após terminarem a sessão. O parâmetro SingleLogoutService no arquivo de metadados deve suportar HTTP Redirect ou HTTP POST.
Se você configurar vários valores, a HUAWEI CLOUD usará o primeiro valor por padrão.
O exemplo a seguir mostra o arquivo de metadados de um IdP empresarial e as informações de metadados que precisam ser concluídas durante a configuração manual.
Figura 3 Arquivo de metadados de um IdP empresarial
Figura 4 Configuração manual de metadados
- Clique em OK.
- Clique em Manually configure.
Fazer login como um usuário federado
- Clique no link de login exibido na página de detalhes do provedor de identidade e verifique se a página de login do servidor IdP empresarial é exibida.
- Na página Identity Providers page, clique em View (consulte Figura 5) na coluna Operation do provedor de identidade. Copie o link de login (consulte Figura 6) exibido na página de detalhes do provedor de identidade e visite o link usando um navegador.
- Se a página de login não for exibida, verifique o arquivo de metadados e as configurações do servidor IdP empresarial.
- Insira o nome de usuário e a senha de um usuário criado no IdP empresarial.
- Se o login for bem-sucedido, adicione o link de login ao sistema de gerenciamento empresarial.
- Se o login falhar, verifique o nome de usuário e a senha.
Os usuários federados só têm permissões de leitura para a HUAWEI CLOUD por padrão. Para atribuir permissões a usuários federados, configure regras de conversão de identidade para o provedor de identidade. Para obter mais informações, consulte Passo 2: configurar regras de conversão de identidade.
Operações relacionadas
- Visualização de informações do provedor de identidade: Na lista de provedores de identidade, clique em View na linha que contém o provedor de identidade e exiba suas informações básicas, metadados e regras de conversão de identidade.
Para modificar as configurações de um provedor de identidade, clique em Modify na parte inferior da página de detalhes.
- Modificação de um provedor de identidade: Na lista de provedores de identidade, clique em Modify na linha que contém o provedor de identidade e, em seguida, altere seus status ou modifique a descrição, metadados ou regras de conversão de identidade.
- Exclusão de um provedor de identidade: Na lista do provedor de identidade, clique em Delete na linha que contém o provedor de identidade e clique em Yes.
Procedimento de acompanhamento
- Na área Identity Conversion Rules, configure regras de conversão de identidade para mapear usuários do sistema de gerenciamento empresarial para grupos de usuários do IAM e conceder permissões aos usuários. Para obter detalhes, consulte Passo 2: configurar regras de conversão de identidade.
- Configure o sistema de gerenciamento empresarial para permitir que os usuários acessem a HUAWEI CLOUD por meio do SSO. Para obter detalhes, consulte (Opcional) Passo 3: configurar um link de login no sistema de gerenciamento empresarial.
