Etapa 1: criar uma entidade IdP
Para estabelecer uma relação de confiança entre um IdP empresarial e a Huawei Cloud, carregue o arquivo de metadados da Huawei Cloud para o IdP empresarial e, em seguida, crie uma entidade IdP e carregue o arquivo de metadados do IdP empresarial no console do IAM.
Pré-requisitos
Você leu a documentação do IdP empresarial ou entendeu como usar o IdP empresarial. As configurações de diferentes IdPs empresariais são muito diferentes, portanto não são descritas neste documento. Para obter detalhes sobre como obter o arquivo de metadados do IdP empresarial e como carregar o arquivo de metadados da Huawei Cloud para o IdP empresarial, consulte a documentação de ajuda do IdP.
Estabelecer uma relação de confiança entre o IdP empresarial e a Huawei Cloud
O arquivo de metadados da Huawei Cloud precisa ser configurado no IdP empresarial para estabelecer uma relação de confiança entre os dois sistemas.
- Baixe o arquivo de metadados da Huawei Cloud.
Visite https://auth-intl.huaweicloud.com/authui/saml/metadata.xml (O Google Chrome é recomendado). Faça o download do arquivo de metadados da Huawei Cloud e defina o nome do arquivo, por exemplo, SP-metadata.xml.
- Faça upload do arquivo de metadados para o servidor de IdP empresarial. Para obter detalhes, consulte a documentação de ajuda do IdP empresarial.
- Obtenha o arquivo de metadados do IdP empresarial. Para obter detalhes, consulte a documentação de ajuda do IdP empresarial.
Criar uma entidade IdP na Huawei Cloud
Para criar uma entidade IdP no console do IAM, faça o seguinte:
- Faça logon no console do IAM, escolha Identity Providers no painel de navegação e clique em Create Identity Provider no canto superior direito.
- Especifique o nome, o protocolo, o tipo de SSO, o status e a descrição da entidade IdP.
Tabela 1 Parâmetros básicos de um IdP Parâmetro
Descrição
Name
Nome do IdP, que deve ser exclusivo globalmente. Você é aconselhado a usar o nome de domínio.
Protocol
Protocolo de IdP. A Huawei Cloud oferece suporte aos protocolos SAML e OpenID Connect. Para obter detalhes sobre a federação de identidade baseada em OpenID Connect, consulte SSO de usuário virtual via OpenID Connect.
SSO Type
Tipo de IdP. Uma conta pode ter apenas um tipo de IdP. A seguir, descreve-se o tipo de usuário virtual.
SSO do usuário virtual: depois que um usuário federado faz logon na Huawei Cloud, o sistema cria automaticamente um usuário virtual para o usuário federado. Uma conta pode ter vários IdPs do tipo de usuário virtual.
Status
Status do IdP. O valor padrão é Enabled.
- Clique em OK.
Configurar o arquivo de metadados do IdP empresarial na Huawei Cloud
Para configurar o arquivo de metadados do IdP empresarial na Huawei Cloud, você pode fazer upload do arquivo de metadados ou editar manualmente os metadados no console do IAM. Para um arquivo de metadados maior que 500 KB, configure manualmente os metadados. Se os metadados tiverem sido alterados, carregue o arquivo de metadados mais recente ou edite os metadados existentes para garantir que os usuários federados possam fazer logon na Huawei Cloud com sucesso.
Para obter detalhes sobre como obter o arquivo de metadados de um IdP empresarial, consulte a documentação de ajuda do IdP empresarial.
- Carregar um arquivo de metadados.
- Clique em Modify na linha que contém o IdP.
- Clique em Select File e selecione o arquivo de metadados do IdP empresarial.
Figura 1 Carregar um arquivo de metadados
- Clique em Upload. Os metadados extraídos do arquivo carregado são exibidos. Clique em OK.
- Se o arquivo de metadados carregado contiver vários IdPs, selecione o IdP que deseja usar na lista suspensa Entity ID.
- Se uma mensagem for exibida indicando que nenhum ID de entidade foi especificado ou que o certificado de assinatura expirou, verifique o arquivo de metadados e carregue-o novamente ou configure os metadados manualmente.
- Clique em OK.
- Configurar metadados manualmente.
- Clique em Manually configure.
Figura 2 Configuração manual de metadados
- Na caixa de diálogo Configure Metadata, defina os parâmetros de metadados, como Entity ID, Signing Certificate e SingleSignOnService.
Parâmetro
Obrigatório
Descrição
Entity ID
Sim
O identificador exclusivo de um IdP. Digite o valor de entityID exibido no arquivo de metadados do IdP empresarial.
Se o arquivo de metadados contiver vários IdPs, escolha aquele que você deseja usar.
Protocol
Sim
Protocolo usado para federação de identidade entre um IdP empresarial e SP.
O protocolo é selecionado por padrão.
NameIdFormat
Não
Digite o valor de NameIdFormat exibido no arquivo de metadados do IdP.
Especifica o formato de identificador de nome de usuário suportado pelo IdP, que é usado para comunicação entre o IdP e o usuário federado.
Se você configurar vários valores, a Huawei Cloud usa o primeiro valor por padrão.
Signing Certificate
Sim
Insira o valor de <X509Certificate> exibido no arquivo de metadados do IdP.
Um certificado de assinatura é um certificado de chave pública usado para verificação de assinatura. Para fins de segurança, insira uma chave pública contendo pelo menos 2.048 bits. O certificado de assinatura é usado durante a federação de identidade para garantir que as afirmações sejam confiáveis e completas.
Se você configurar vários valores, a Huawei Cloud usa o primeiro valor por padrão.
SingleSignOnService
Sim
Digite o valor de SingleSignOnService exibido no arquivo de metadados do IdP.
Este parâmetro define como as solicitações SAML são enviadas durante o SSO. Ele deve suportar HTTP Redirect ou HTTP POST.
Se você configurar vários valores, a Huawei Cloud usa o primeiro valor por padrão.
SingleLogoutService
Não
Digite o valor de SingleLogoutService exibido no arquivo de metadados do IdP.
Este parâmetro indica o endereço para o qual os usuários federados serão redirecionados após encerrarem suas sessões. Ele deve suportar HTTP Redirect ou HTTP POST.
Se você configurar vários valores, a Huawei Cloud usa o primeiro valor por padrão.
O exemplo a seguir mostra o arquivo de metadados de um IdP empresarial e os metadados configurados manualmente.
Figura 3 Arquivo de metadados de um IdP empresarial
Figura 4 Configuração manual de metadados
- Clique em OK.
- Clique em Manually configure.
Operações relacionadas
- Visualizar informações de IdP: na lista de IdP, clique em View na linha que contém o IdP e exiba suas informações básicas, configuração de metadados e regras de conversão de identidade.
Para modificar a configuração de um IdP, clique em Modify na parte inferior da página de detalhes.
- Modificar um IdP: na lista do IdP, clique em Modify na linha que contém o IdP e, em seguida, altere seu status ou modifique a descrição, os metadados ou as regras de conversão de identidade.
- Excluir um IdP: na lista do IdP, clique em Delete na linha que contém o IdP e clique em Yes na caixa de diálogo exibida.
Procedimento de acompanhamento
- Configurar o IdP empresarial: configure parâmetros de IdP empresarial para determinar quais informações podem ser enviadas para a Huawei Cloud.
- Configurar regras de conversão de identidade: na área Identity Conversion Rules, configure regras de conversão de identidade para estabelecer um mapeamento entre usuários empresariais e grupos de usuários do IAM. Desta forma, os usuários empresariais podem obter as permissões correspondentes na Huawei Cloud. Para mais detalhes, consulte Etapa 3: configurar regras de conversão de identidade.
- Verificar o logon federado: verifique se o usuário empresarial pode fazer logon na Huawei Cloud por meio de SSO. Para mais detalhes, consulte Etapa 4: verificar o logon federado.
