Etapa 2: configurar regras de conversão de identidade
Os usuários federados são nomeados FederationUser por padrão na Huawei Cloud. Esses usuários só podem fazer logon na Huawei Cloud e não têm outras permissões. Você pode configurar regras de conversão de identidade no console do IAM para obter o seguinte:
- Exiba usuários empresariais com nomes diferentes na Huawei Cloud.
- Atribua permissões aos usuários empresariais para usar os recursos da Huawei Cloud mapeando esses usuários para grupos de usuários do IAM. Certifique-se de ter criado os grupos de usuários necessários. Para mais detalhes, consulte Criação de um grupo de usuários e atribuição de permissões.
- As modificações nas regras de conversão de identidade entrarão em vigor na próxima vez que os usuários federados fizerem logon.
- Para modificar as permissões de um usuário, modifique as permissões do grupo de usuários ao qual o usuário pertence. Em seguida, reinicie o IdP empresarial para que as modificações tenham efeito.
Pré-requisitos
Uma entidade IdP foi criada e o link de logon do IdP está acessível. (Para obter detalhes sobre como criar e verificar uma entidade IdP, consulte Etapa 1: criar uma entidade IdP.)
Procedimento
Se você configurar regras de conversão de identidade clicando em Create Rule, o IAM converterá os parâmetros de regra para o formato JSON. Como alternativa, você pode clicar em Edit Rule para configurar regras no formato JSON. Para mais detalhes, consulte Sintaxe das regras de conversão de identidade.
- Criar regras
- Faça logon no console do IAM como administrador. No painel de navegação, escolha Identity Providers.
- Na lista de IdP, clique em Modify na linha que contém o IdP.
- Na área Identity Conversion Rules, clique em Create Rule. Em seguida, configure as regras na caixa de diálogo Create Rule.
Figura 1 Criar regras
Figura 2 Definir parâmetros
Tabela 1 Descrição do parâmetro Parâmetro
Descrição
Observações
Username
Nome de usuário de usuários federados na Huawei Cloud.
Para distinguir os usuários federados dos usuários da Huawei Cloud, é recomendável definir o nome de usuário como FederationUser-IdP_XXX. IdP indica um nome de IdP, por exemplo, AD FS ou Shibboleth. XXX indica um nome personalizado.
AVISO:- O nome de usuário de cada usuário federado deve ser exclusivo no mesmo IdP. Os usuários federados com os mesmos nomes de usuário no mesmo IdP serão mapeados para o mesmo usuário do IAM na Huawei Cloud.
- O nome de usuário só pode conter letras, dígitos, espaços, hifens (-), sublinhados (_) e pontos (.). Ele não pode começar com um dígito e não pode conter os seguintes caracteres especiais: ", \", \\, \n, \r
User Groups
Grupos de usuários aos quais os usuários federados pertencem na Huawei Cloud.
Os usuários federados herdarão permissões de seus grupos de usuários. Você pode selecionar um grupo de usuários que já foi criado.
Rule Conditions
Condições que um usuário federado deve atender para obter permissões dos grupos de usuários selecionados.
Os usuários federados que não atendem a essas condições não podem acessar a Huawei Cloud. Você pode criar no máximo 10 condições para uma regra de conversão de identidade.
NOTA:- Uma regra de conversão de identidade pode ter várias condições. Ela só entra em vigor se todas as condições forem atendidas.
- Um IdP pode ter várias regras de conversão de identidade. Se um usuário federado não atender a nenhuma das condições, o usuário será negado a acessar a Huawei Cloud.
Por exemplo, defina uma regra de conversão de identidade para administradores no sistema de gerenciamento empresarial.
- Nome de usuário: FederationUser-IdP_admin
- Grupo de usuários: admin
- Condição da regra: _NAMEID_ (atributo), any_one_of (condição) e 000000001 (valor).
Somente o usuário com ID 000000001 é mapeado para o usuário do IAM FederationUser-IdP_admin e herda permissões do grupo de usuários admin.
- Na caixa de diálogo Create Rule, clique em OK.
- Na página Modify Identity Provider, clique em OK.
- Editar regras
- Faça logon no console do IAM como administrador. No painel de navegação, escolha Identity Providers.
- Na lista de IdP, clique em Modify na linha que contém o IdP.
- Na área Identity Conversion Rules, clique em Edit Rule.
- Edite as regras de conversão de identidade no formato JSON. Para mais detalhes, consulte Sintaxe das regras de conversão de identidade.
- Clique em Validate para verificar a sintaxe das regras.
- Se a regra estiver correta, clique em OK na caixa de diálogo Edit Rule e clique em OK na página Modify Identity Provider.
Se for exibida uma mensagem indicando que o arquivo JSON está incompleto, modifique as instruções ou clique em Cancel para cancelar as modificações.
Verificar permissões de usuário federado
Depois de configurar as regras de conversão de identidade, verifique as permissões dos usuários federados.
- Efetue logon como um usuário federado.
Na página Identity Providers do console do IAM, clique em View na linha que contém o IdP. Clique em
para copiar o link de logon exibido na área Basic Information, abra o link usando um navegador e digite o nome de usuário e a senha usados no sistema de gerenciamento empresarial. - Verifique se o usuário federado tem as permissões atribuídas ao seu grupo de usuários.
Por exemplo, configure uma regra de conversão de identidade para mapear o usuário federado ID1 para o grupo de usuários admin para que o ID1 tenha permissões completas para todos os serviços de nuvem. No console de gerenciamento, selecione um serviço de nuvem e verifique se você pode acessar o serviço.
Operações relacionadas
Exibir regras de conversão de identidade: clique em View Rule na página Modify Identity Provider. As regras de conversão de identidade são exibidas no formato JSON. Para obter detalhes sobre o formato JSON, consulte Sintaxe das regras de conversão de identidade.
