Etapa 1: criar uma entidade IdP
Para estabelecer uma relação de confiança entre um IdP empresarial e a Huawei Cloud, defina os URLs de redirecionamento do usuário e crie credenciais OAuth 2.0 no IdP empresarial. No console do IAM, crie uma entidade IdP e configure as informações de autorização.
Pré-requisitos
- O administrador empresarial criou uma conta na Huawei Cloud, criou grupos de usuários e atribuiu-lhes permissões no IAM. Para mais detalhes, consulte Criação de um grupo de usuários e atribuição de permissões. Os grupos de usuários criados no IAM serão mapeados para usuários federados para que os usuários federados possam obter as permissões dos grupos de usuários para usar os recursos da Huawei Cloud.
- O administrador empresarial leu a documentação de ajuda do IdP empresarial ou entendeu como usar o IdP empresarial. As configurações de diferentes IdPs empresariais são muito diferentes, portanto não são descritas neste documento. Para obter detalhes sobre como obter credenciais OAuth 2.0 de um IdP empresarial, consulte a documentação de ajuda do IdP.
Criar credenciais OAuth 2.0 no IdP empresarial
- Defina URIs de redirecionamento https://auth.huaweicloud.com/authui/oidc/redirect e https://auth.huaweicloud.com/authui/oidc/post no IdP empresarial para que os usuários possam ser redirecionados para o IdP de OpenID Connect na Huawei Cloud.
- Obtenha as credenciais OAuth 2.0 do IdP empresarial.
Criar uma entidade IdP na Huawei Cloud
Crie uma entidade IdP e configure as informações de autorização no IAM para estabelecer uma relação de confiança entre o IdP empresarial e o IAM.
- Faça logon no console do IAM, escolha Identity Providers no painel de navegação e clique em Create Identity Provider no canto superior direito.
- Digite um nome de IdP, selecione OpenID Connect e Enabled e clique em OK.
O nome do IdP deve ser exclusivo na sua conta. Você é aconselhado a usar o nome de domínio.
Configurar informações de autorização na Huawei Cloud
- Clique em Modify na coluna Operation da linha que contém o IdP que você deseja modificar.
- Selecione um tipo de acesso.
- Especifique as informações de configuração.
Tabela 2 Informações de configuração Parâmetro
Descrição
Identity Provider URL
URL do IdP de OpenID Connect.
Defina-o como o valor de issuer em Openid-configuration.
NOTA:Openid-configuration indica um URL definido em OpenID Connect, contendo configurações de um IdP empresarial. O formato do URL é https://{base URL}/.well-known/openid-configuration, em que base URL é definido pelo IdP empresarial. Por exemplo, o Openid-configuration do Google é https://accounts.google.com/.well-known/openid-configuration.
Client ID
ID de um cliente registrado com o IdP de OpenID Connect. O ID do cliente é uma credencial OAuth 2.0 criada no IdP empresarial.
Authorization Endpoint
Ponto de extremidade de autorização do IdP de OpenID Connect. Defina-o como o valor de authorization_endpoint em Openid-configuration.
Esse parâmetro só será necessário se você definir Access Type como Programmatic access and management console access.
Scopes
Escopos das solicitações de autorização. openid é selecionado por padrão.
Esse parâmetro só será necessário se você definir Access Type como Programmatic access and management console access.
Valores enumerados:
- openid
- profile
Response Type
Tipo de resposta de solicitações de autorização. O valor padrão é id_token.
Esse parâmetro só será necessário se você definir Access Type como Programmatic access and management console access.
Response Mode
Modo de resposta das solicitações de autorização. As opções incluem form_post e fragment. form_post é recomendado.
- form_post: se este modo estiver selecionado, defina o URL de redirecionamento para https://auth.huaweicloud.com/authui/oidc/post no IdP empresarial.
- fragment: se este modo estiver selecionado, defina o URL de redirecionamento para https:/auth.huaweicloud.com/authui/oidc/redirect no IdP empresarial.
Esse parâmetro só será necessário se você definir Access Type como Programmatic access and management console access.
Signing Key
Chave pública usada para assinar o token de ID do IdP de OpenID Connect. Para fins de segurança da conta, altere a chave de assinatura periodicamente.
- Clique em OK.
Verificar o logon federado
- Clique no link de logon exibido na página de detalhes do IdP e verifique se a página de logon do servidor de IdP empresarial é exibida.
- Na página Identity Providers, clique em Modify na coluna Operation do provedor de identidade.
- Copie o link de logon exibido na página Modify Identity Provider e visite o link usando um navegador.
- Se a página de logon do IdP empresarial não for exibida, verifique as configurações do IdP e do servidor do IdP empresarial.
- Digite o nome de usuário e a senha de um usuário que foi criado no sistema de gerenciamento empresarial.
- Se o logon for bem-sucedido, adicione o link de logon ao sistema de gerenciamento empresarial.
- Se o logon falhar, verifique o nome de usuário e a senha.
Os usuários federados só podem acessar a Huawei Cloud por padrão. Para atribuir permissões a usuários federados, configure regras de conversão de identidade para o IdP. Para mais detalhes, consulte Etapa 2: configurar regras de conversão de identidade.
Operações relacionadas
- Visualizar informações de IdP: na lista de IdP, clique em View na linha que contém o IdP e exiba suas informações básicas, configuração de metadados e regras de conversão de identidade.
Para modificar a configuração de um IdP, clique em Modify na parte inferior da página de detalhes.
- Modificar um IdP: na lista do IdP, clique em Modify na linha que contém o IdP e, em seguida, altere seu status ou modifique a descrição, os metadados ou as regras de conversão de identidade.
- Excluir um IdP: na lista do IdP, clique em Delete na linha que contém o IdP e clique em Yes na caixa de diálogo exibida.
Procedimento de acompanhamento
- Configure regras de conversão de identidade para mapear usuários de IdP empresarial para grupos de usuários do IAM e atribua permissões aos usuários. Para mais detalhes, consulte Etapa 2: configurar regras de conversão de identidade.
- Configure o sistema de gerenciamento empresarial para permitir que os usuários acessem a Huawei Cloud por meio do SSO. Para mais detalhes, consulte (Opcional) Etapa 3: configurar o link de logon no sistema de gerenciamento empresarial.