Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda/ Identity and Access Management/ Guia de usuário/ Provedores de identidade/ SSO de usuário virtual via OpenID Connect/ Etapa 1: criar uma entidade IdP

Atualizado em 2024-08-31 GMT+08:00

Ver PDF

Etapa 1: criar uma entidade IdP

Para estabelecer uma relação de confiança entre um IdP empresarial e a Huawei Cloud, defina os URLs de redirecionamento do usuário e crie credenciais OAuth 2.0 no IdP empresarial. No console do IAM, crie uma entidade IdP e configure as informações de autorização.

Pré-requisitos

O administrador empresarial criou uma conta na Huawei Cloud, criou grupos de usuários e atribuiu-lhes permissões no IAM. Para mais detalhes, consulte Criação de um grupo de usuários e atribuição de permissões. Os grupos de usuários criados no IAM serão mapeados para usuários federados para que os usuários federados possam obter as permissões dos grupos de usuários para usar os recursos da Huawei Cloud.
O administrador empresarial leu a documentação de ajuda do IdP empresarial ou entendeu como usar o IdP empresarial. As configurações de diferentes IdPs empresariais são muito diferentes, portanto não são descritas neste documento. Para obter detalhes sobre como obter credenciais OAuth 2.0 de um IdP empresarial, consulte a documentação de ajuda do IdP.

Criar credenciais OAuth 2.0 no IdP empresarial

Defina URIs de redirecionamento https://auth.huaweicloud.com/authui/oidc/redirect e https://auth.huaweicloud.com/authui/oidc/post no IdP empresarial para que os usuários possam ser redirecionados para o IdP de OpenID Connect na Huawei Cloud.
Obtenha as credenciais OAuth 2.0 do IdP empresarial.

Criar uma entidade IdP na Huawei Cloud

Crie uma entidade IdP e configure as informações de autorização no IAM para estabelecer uma relação de confiança entre o IdP empresarial e o IAM.

Faça logon no console do IAM, escolha Identity Providers no painel de navegação e clique em Create Identity Provider no canto superior direito.
Digite um nome de IdP, selecione OpenID Connect e Enabled e clique em OK.

O nome do IdP deve ser exclusivo na sua conta. Você é aconselhado a usar o nome de domínio.

Configurar informações de autorização na Huawei Cloud

Clique em Modify na coluna Operation da linha que contém o IdP que você deseja modificar.

Selecione um tipo de acesso.

**Tabela 1** Descrição do tipo de acesso
Tipo de acesso	Descrição
Programmatic access and management console access	Programmatic access: os usuários federados podem usar ferramentas de desenvolvimento (incluindo APIs, CLI e SDKs) que suportam autenticação de chave para acessar a Huawei Cloud. Management console access: os usuários federados podem fazer logon na Huawei Cloud usando seus próprios nomes de usuário e senhas. Selecione esse tipo de acesso se quiser que os usuários acessem a Huawei Cloud por meio de SSO.
Programmatic access	Os usuários federados só podem usar ferramentas de desenvolvimento (incluindo APIs, CLI e SDKs) que suportem autenticação de chave para acessar a Huawei Cloud.

Especifique as informações de configuração.

**Tabela 2** Informações de configuração
Parâmetro	Descrição
Identity Provider URL	URL do IdP de OpenID Connect. Defina-o como o valor de issuer em Openid-configuration. NOTA: Openid-configuration indica um URL definido em OpenID Connect, contendo configurações de um IdP empresarial. O formato do URL é https://{base URL}/.well-known/openid-configuration, em que base URL é definido pelo IdP empresarial. Por exemplo, o Openid-configuration do Google é https://accounts.google.com/.well-known/openid-configuration.
Client ID	ID de um cliente registrado com o IdP de OpenID Connect. O ID do cliente é uma credencial OAuth 2.0 criada no IdP empresarial.
Authorization Endpoint	Ponto de extremidade de autorização do IdP de OpenID Connect. Defina-o como o valor de authorization_endpoint em Openid-configuration. Esse parâmetro só será necessário se você definir Access Type como Programmatic access and management console access.
Scopes	Escopos das solicitações de autorização. openid é selecionado por padrão. Esse parâmetro só será necessário se você definir Access Type como Programmatic access and management console access. Valores enumerados: openid email profile
Response Type	Tipo de resposta de solicitações de autorização. O valor padrão é id_token. Esse parâmetro só será necessário se você definir Access Type como Programmatic access and management console access.
Response Mode	Modo de resposta das solicitações de autorização. As opções incluem form_post e fragment. form_post é recomendado. form_post: se este modo estiver selecionado, defina o URL de redirecionamento para https://auth.huaweicloud.com/authui/oidc/post no IdP empresarial. fragment: se este modo estiver selecionado, defina o URL de redirecionamento para https:/auth.huaweicloud.com/authui/oidc/redirect no IdP empresarial. Esse parâmetro só será necessário se você definir Access Type como Programmatic access and management console access.
Signing Key	Chave pública usada para assinar o token de ID do IdP de OpenID Connect. Para fins de segurança da conta, altere a chave de assinatura periodicamente.

Clique em OK.

Verificar o logon federado

Clique no link de logon exibido na página de detalhes do IdP e verifique se a página de logon do servidor de IdP empresarial é exibida.
1. Na página Identity Providers, clique em Modify na coluna Operation do provedor de identidade.
2. Copie o link de logon exibido na página Modify Identity Provider e visite o link usando um navegador.
3. Se a página de logon do IdP empresarial não for exibida, verifique as configurações do IdP e do servidor do IdP empresarial.
Digite o nome de usuário e a senha de um usuário que foi criado no sistema de gerenciamento empresarial.
- Se o logon for bem-sucedido, adicione o link de logon ao sistema de gerenciamento empresarial.
- Se o logon falhar, verifique o nome de usuário e a senha.
Os usuários federados só podem acessar a Huawei Cloud por padrão. Para atribuir permissões a usuários federados, configure regras de conversão de identidade para o IdP. Para mais detalhes, consulte Etapa 2: configurar regras de conversão de identidade.

Operações relacionadas

Visualizar informações de IdP: na lista de IdP, clique em View na linha que contém o IdP e exiba suas informações básicas, configuração de metadados e regras de conversão de identidade.

Para modificar a configuração de um IdP, clique em Modify na parte inferior da página de detalhes.
Modificar um IdP: na lista do IdP, clique em Modify na linha que contém o IdP e, em seguida, altere seu status ou modifique a descrição, os metadados ou as regras de conversão de identidade.
Excluir um IdP: na lista do IdP, clique em Delete na linha que contém o IdP e clique em Yes na caixa de diálogo exibida.

Procedimento de acompanhamento

Configure regras de conversão de identidade para mapear usuários de IdP empresarial para grupos de usuários do IAM e atribua permissões aos usuários. Para mais detalhes, consulte Etapa 2: configurar regras de conversão de identidade.
Configure o sistema de gerenciamento empresarial para permitir que os usuários acessem a Huawei Cloud por meio do SSO. Para mais detalhes, consulte (Opcional) Etapa 3: configurar o link de logon no sistema de gerenciamento empresarial.

Tópico principal: SSO de usuário virtual via OpenID Connect

Tópico anterior: Visão geral do SSO de usuário virtual via OpenID Connect

Próximo tópico: Etapa 2: configurar regras de conversão de identidade