Passo 1: Criar um provedor de identidade
Para estabelecer uma relação de confiança entre um IdP empresarial e a HUAWEI CLOUD, crie um provedor de identidade e configure as informações de autorização no console do IAM, defina os URLs de redirecionamento do usuário e crie credenciais OAuth 2.0 no IdP empresarial.
Pré-requisitos
- Você registrou uma conta na HUAWEI CLOUD como um administrador empresarial e criou grupos de usuários e concedeu a eles permissões no IAM. Para obter detalhes, consulte Criação de um grupo de usuários e atribuição de permissões. Os grupos de usuários criados no IAM serão usados para atribuir permissões a usuários de IdP empresarial mapeados para a HUAWEI CLOUD.
- Você leu a documentação do IdP empresarial ou entendeu como usar o IdP empresarial. As configurações dos IdPs diferentes empresariais existem muitas diferenças, por isso, não são descritas neste documento. Para obter detalhes sobre como obter as credenciais do OAuth 2.0 do IdP empresarial, consulte a documentação do IdP.
Criação de credenciais do OAuth 2.0 no IdP empresarial
- Defina URLs de redirecionamento https://auth.huaweicloud.com/authui/oidc/redirect e https://auth.huaweicloud.com/authui/oidc/post no IdP empresarial para que os usuários possam ser redirecionados ao provedor de identidade OpenID Connect na HUAWEI CLOUD.
- Obtenha credenciais do OAuth 2.0 do IdP empresarial.
Criação de um provedor de identidade na HUAWEI CLOUD
Crie um provedor de identidade e configure as informações de autorização no IAM.
- Faça login no console do IAM, escolha Identity Providers no painel de navegação e clique em Create Identity Provider no canto superior direito.
- Insira um nome de provedor de identidade, selecione OpenID Connect e Enabled e clique em OK.
O nome do provedor de identidade deve ser exclusivo sob sua conta.
Configuração das informações de autorização na HUAWEI CLOUD
- Clique em Modify na coluna Operation da linha que contém o provedor de identidade que deseja modificar.
- Selecione um tipo de acesso.
- Especifique as informações de configuração.
Tabela 2 Informações de configuração Parâmetro
Descrição
Identity Provider URL
URL do provedor de identidade do OpenID Connect.
Especifique esse parâmetro como o valor do issuer em Openid-configuration.
NOTA:Openid-configuration indica um URL definido no OpenID Connect, contendo configurações de um IdP empresarial. O formato URL é https://{base URL}/.well-known/openid-configuration, onde o base URL é definido pelo IdP empresarial. Por exemplo, a Openid-configuration do Google é https://accounts.google.com/.well-known/openid-configuration.
Client ID
ID de um cliente registrado com o provedor de identidade do OpenID Connect. O ID do cliente é uma credencial do OAuth 2.0 criada no IdP empresarial.
Authorization Endpoint
O Authorization Endpoint do provedor de identidade do OpenID Connect. Especifique esse parâmetro como o valor do authorization_endpoint em Openid-configuration.
Esse parâmetro só será necessário se você definir Access Type como Programmatic access e management console access.
Scopes
Escopos das solicitações de autorização. openid é selecionado por padrão.
Esse parâmetro só será necessário se você definir Access Type como Programmatic access e management console access.
Valores enumerados:
- openid
- profile
Response Type
Tipo de resposta de solicitações de autorização. O valor padrão é id_token.
Esse parâmetro só será necessário se você definir Access Type como Programmatic access e management console access.
Response Mode
Modo de resposta de solicitações de autorização. As opções incluem form_post e fragment. form_post é recomendado.
- form_post: Se esse modo estiver selecionado, defina o URL de redirecionamento como htauth.huaweicloud.comd.com/authul/oidc/post no IdP empresarial.
- fragment: Se esse modo estiver selecionado, defina o URL de redirecionamento como httauth.huaweicloud.comd.com/authui/oidc/redirect no IdP empresarial.
Esse parâmetro só será necessário se você definir Access Type como Programmatic access e management console access.
Chave de assinatura
Chave pública usada para assinar o ID token do provedor de identidade OpenID Connect. Para fins de segurança da conta, altere a chave de assinatura periodicamente.
- Clique em OK.
Fazer login como um usuário federado
- Clique no link de login exibido na página de detalhes do provedor de identidade e verifique se a página de login do servidor IdP empresarial é exibida.
- Na página Identity Providers page, clique em Modify na coluna Operation do provedor de identidade.
- Copie o link de login exibido na página Modify Identity Provider e visite o link usando um navegador.
- Se a página de login do IdP empresarial não for exibida, verifique as configurações do provedor de identidade e do servidor IdP empresarial.
- Insira o nome de usuário e a senha de um usuário que foi criado no sistema de gerenciamento empresarial.
- Se o login for bem-sucedido, adicione o link de login ao sistema de gerenciamento empresarial.
- Se o login falhar, verifique o nome de usuário e a senha.
Os usuários federados só têm permissões de leitura para a HUAWEI CLOUD por padrão. Para atribuir permissões a usuários federados, configure regras de conversão de identidade para o provedor de identidade. Para obter mais informações, consulte Passo 2: configurar regras de conversão de identidade.
Operações relacionadas
- Visualização de informações do provedor de identidade: Na lista de provedores de identidade, clique em View na linha que contém o provedor de identidade e exiba suas informações básicas, metadados e regras de conversão de identidade.
Para modificar as configurações de um provedor de identidade, clique em Modify na parte inferior da página de detalhes.
- Modificação de um provedor de identidade: Na lista de provedores de identidade, clique em Modify na linha que contém o provedor de identidade e, em seguida, altere seus status ou modifique a descrição, metadados ou regras de conversão de identidade.
- Exclusão de um provedor de identidade: Na lista do provedor de identidade, clique em Delete na linha que contém o provedor de identidade e clique em Yes.
Procedimento de acompanhamento
- Configurar as regras de conversão de identidade para mapear usuários do IdP empresarial para grupos de usuários do IAM e conceder permissões aos usuários. Para obter detalhes, consulte Passo 2: configurar regras de conversão de identidade.
- Configure o sistema de gerenciamento empresarial para permitir que os usuários acessem a HUAWEI CLOUD por meio do SSO. Para obter detalhes, consulte (Opcional) Passo 3: configurar um link de login no sistema de gerenciamento empresarial.