Etapa 3: configurar regras de conversão de identidade
Depois que um usuário de IdP empresarial faz logon na Huawei Cloud, a Huawei Cloud autentica a identidade e atribui permissões ao usuário com base nas regras de conversão de identidade. Você pode personalizar regras de conversão de identidade com base em seus requisitos de serviço. Se você não configurar regras de conversão de identidade, o nome de usuário do usuário federado na Huawei Cloud é FederationUser por padrão, e o usuário federado só pode acessar a Huawei Cloud por padrão.
Você pode configurar os seguintes parâmetros para usuários federados:
- Username: nomes de usuários de usuários federados na Huawei Cloud.
- User permissions: permissões atribuídas a usuários federados na Huawei Cloud. Você precisa mapear os usuários federados para grupos de usuários do IAM. Dessa forma, os usuários federados podem obter as permissões dos grupos de usuários para usar os recursos da Huawei Cloud. Certifique-se de que grupos de usuários foram criados. Para obter detalhes sobre como criar um grupo de usuários, consulte Criação de um grupo de usuários e atribuição de permissões.
- As modificações nas regras de conversão de identidade entrarão em vigor na próxima vez que os usuários federados fizerem logon.
- Para modificar as permissões de um usuário, modifique as permissões do grupo de usuários ao qual o usuário pertence. Em seguida, reinicie o IdP empresarial para que as modificações tenham efeito.
Pré-requisitos
- O administrador empresarial criou uma conta na Huawei Cloud, criou grupos de usuários e atribuiu permissões ao grupo no IAM. Para mais detalhes, consulte Criação de um grupo de usuários e atribuição de permissões.
- Um IdP foi criado na Huawei Cloud. Para mais detalhes, consulte Etapa 1: criar uma entidade IdP.
Procedimento
Se você configurar regras de conversão de identidade clicando em Create Rule, o IAM converterá os parâmetros especificados para o formato JSON. Como alternativa, você pode clicar em Edit Rule para configurar regras diretamente no formato JSON. Para mais detalhes, consulte Sintaxe das regras de conversão de identidade.
- Criar regras
- Faça logon no console do IAM como administrador. No painel de navegação, escolha Identity Providers.
- Na lista de IdP, clique em Modify na linha que contém o IdP.
- Na área Identity Conversion Rules, clique em Create Rule. Em seguida, configure as regras na caixa de diálogo Create Rule.
Figura 1 Clicar em Create Rule
Figura 2 Criar regras
Tabela 1 Descrição do parâmetro Parâmetro
Descrição
Observações
Username
Nome de usuário de usuários federados na Huawei Cloud.
Para distinguir os usuários federados dos usuários da Huawei Cloud, é recomendável definir o nome de usuário como FederationUser-IdP_XXX. IdP indica um nome de IdP, por exemplo, AD FS ou Shibboleth. XXX indica um nome personalizado.
AVISO:- O nome de usuário de cada usuário federado deve ser exclusivo no mesmo IdP. Os usuários federados com os mesmos nomes de usuário no mesmo IdP serão mapeados para o mesmo usuário do IAM na Huawei Cloud.
- O nome de usuário só pode conter letras, dígitos, espaços, hifens (-), sublinhados (_) e pontos (.). Ele não pode começar com um dígito e não pode conter os seguintes caracteres especiais: ", \", \\, \n, \r
User Groups
Grupos de usuários aos quais os usuários federados pertencem na Huawei Cloud.
Os usuários federados herdarão permissões dos grupos aos quais pertencem. Você pode selecionar um grupo de usuários que já foi criado.
Rule Conditions
Condições que um usuário federado deve atender para obter permissões dos grupos de usuários selecionados.
Os usuários federados que não atendem a essas condições não podem acessar a Huawei Cloud. Você pode criar no máximo 10 condições para uma regra de conversão de identidade.
Os parâmetros Attribute e Value são usados para que o IdP empresarial transfira informações do usuário para a Huawei Cloud por meio de asserções SAML. O parâmetro Condition pode ser definido como empty, any_one_of ou not_any_of. Para obter detalhes sobre esses parâmetros, consulte Sintaxe das regras de conversão de identidade.
NOTA:- Uma regra de conversão de identidade pode ter várias condições. Ela só entra em vigor se todas as condições forem atendidas.
- Um IdP pode ter várias regras de conversão de identidade. Se um usuário federado não atender a nenhuma das condições, o usuário será negado a acessar a Huawei Cloud.
Por exemplo, defina uma regra de conversão de identidade para administradores no sistema de gerenciamento empresarial.
- Nome de usuário: FederationUser-IdP_admin
- Grupo de usuários: admin
- Condição da regra: _NAMEID_ (atributo), any_one_of (condição) e 000000001 (valor).
Somente o usuário com ID 000000001 é mapeado para o usuário do IAM FederationUser-IdP_admin e herda permissões do grupo de usuários admin.
- Na caixa de diálogo Create Rule, clique em OK.
- Na página Modify Identity Provider, clique em OK.
- Editar regras
- Faça logon no console do IAM como administrador. No painel de navegação, escolha Identity Providers.
- Na lista de IdP, clique em Modify na linha que contém o IdP.
Figura 3 Modificar um IdP
- Na área Identity Conversion Rules, clique em Edit Rule.
Figura 4 Editar regras de conversão de identidade
- Edite as regras de conversão de identidade no formato JSON. Para mais detalhes, consulte Sintaxe das regras de conversão de identidade.
- Clique em Validate para verificar a sintaxe das regras.
- Se a regra estiver correta, clique em OK na caixa de diálogo Edit Rule e clique em OK na página Modify Identity Provider.
Se for exibida uma mensagem indicando que o arquivo JSON está incompleto, modifique as instruções ou clique em Cancel para cancelar as modificações.
Operações relacionadas
Exibir regras de conversão de identidade: clique em View Rule na página Modify Identity Provider. As regras de conversão de identidade são exibidas no formato JSON. Para obter detalhes sobre o formato JSON, consulte Sintaxe das regras de conversão de identidade.
