Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda/ Identity and Access Management/ Guia de usuário/ Provedores de identidade/ Autenticação de identidade federada baseada em OpenID Connect/ Passo 1: Criar um provedor de identidade

Atualizado em 2023-11-25 GMT+08:00

Ver PDF

Passo 1: Criar um provedor de identidade

Para estabelecer uma relação de confiança entre um IdP empresarial e a HUAWEI CLOUD, crie um provedor de identidade e configure as informações de autorização no console do IAM, defina os URLs de redirecionamento do usuário e crie credenciais OAuth 2.0 no IdP empresarial.

Pré-requisitos

Você registrou uma conta na HUAWEI CLOUD como um administrador empresarial e criou grupos de usuários e concedeu a eles permissões no IAM. Para obter detalhes, consulte Criação de um grupo de usuários e atribuição de permissões. Os grupos de usuários criados no IAM serão usados para atribuir permissões a usuários de IdP empresarial mapeados para a HUAWEI CLOUD.
Você leu a documentação do IdP empresarial ou entendeu como usar o IdP empresarial. As configurações dos IdPs diferentes empresariais existem muitas diferenças, por isso, não são descritas neste documento. Para obter detalhes sobre como obter as credenciais do OAuth 2.0 do IdP empresarial, consulte a documentação do IdP.

Criação de credenciais do OAuth 2.0 no IdP empresarial

Defina URLs de redirecionamento https://auth.huaweicloud.com/authui/oidc/redirect e https://auth.huaweicloud.com/authui/oidc/post no IdP empresarial para que os usuários possam ser redirecionados ao provedor de identidade OpenID Connect na HUAWEI CLOUD.
Obtenha credenciais do OAuth 2.0 do IdP empresarial.

Criação de um provedor de identidade na HUAWEI CLOUD

Crie um provedor de identidade e configure as informações de autorização no IAM.

Faça login no console do IAM, escolha Identity Providers no painel de navegação e clique em Create Identity Provider no canto superior direito.
Insira um nome de provedor de identidade, selecione OpenID Connect e Enabled e clique em OK.

O nome do provedor de identidade deve ser exclusivo sob sua conta.

Configuração das informações de autorização na HUAWEI CLOUD

Clique em Modify na coluna Operation da linha que contém o provedor de identidade que deseja modificar.

Selecione um tipo de acesso.

**Tabela 1** Descrição do tipo de acesso
Tipo de acesso	Descrição
Acesso programático e acesso ao console de gerenciamento	Acesso programático: Os usuários federados podem usar ferramentas de desenvolvimento (incluindo APIs, CLI e SDKs) que suportam autenticação de chave para acessar a HUAWEI CLOUD. Acesso ao console de gerenciamento: Os usuários federados podem fazer login no console da HUAWEI CLOUD usando seus próprios nomes de usuário e senhas. Selecione este tipo de acesso se quiser que os usuários acessem a HUAWEI CLOUD por meio do SSO.
Acesso programático	Os usuários federados só podem usar ferramentas de desenvolvimento (incluindo APIs, CLI e SDKs) que suportam autenticação de chave para acessar a HUAWEI CLOUD.

Especifique as informações de configuração.

**Tabela 2** Informações de configuração
Parâmetro	Descrição
Identity Provider URL	URL do provedor de identidade do OpenID Connect. Especifique esse parâmetro como o valor do issuer em Openid-configuration. NOTA: Openid-configuration indica um URL definido no OpenID Connect, contendo configurações de um IdP empresarial. O formato URL é https://{base URL}/.well-known/openid-configuration, onde o base URL é definido pelo IdP empresarial. Por exemplo, a Openid-configuration do Google é https://accounts.google.com/.well-known/openid-configuration.
Client ID	ID de um cliente registrado com o provedor de identidade do OpenID Connect. O ID do cliente é uma credencial do OAuth 2.0 criada no IdP empresarial.
Authorization Endpoint	O Authorization Endpoint do provedor de identidade do OpenID Connect. Especifique esse parâmetro como o valor do authorization_endpoint em Openid-configuration. Esse parâmetro só será necessário se você definir Access Type como Programmatic access e management console access.
Scopes	Escopos das solicitações de autorização. openid é selecionado por padrão. Esse parâmetro só será necessário se você definir Access Type como Programmatic access e management console access. Valores enumerados: openid email profile
Response Type	Tipo de resposta de solicitações de autorização. O valor padrão é id_token. Esse parâmetro só será necessário se você definir Access Type como Programmatic access e management console access.
Response Mode	Modo de resposta de solicitações de autorização. As opções incluem form_post e fragment. form_post é recomendado. form_post: Se esse modo estiver selecionado, defina o URL de redirecionamento como htauth.huaweicloud.comd.com/authul/oidc/post no IdP empresarial. fragment: Se esse modo estiver selecionado, defina o URL de redirecionamento como httauth.huaweicloud.comd.com/authui/oidc/redirect no IdP empresarial. Esse parâmetro só será necessário se você definir Access Type como Programmatic access e management console access.
Chave de assinatura	Chave pública usada para assinar o ID token do provedor de identidade OpenID Connect. Para fins de segurança da conta, altere a chave de assinatura periodicamente.

Clique em OK.

Fazer login como um usuário federado

Clique no link de login exibido na página de detalhes do provedor de identidade e verifique se a página de login do servidor IdP empresarial é exibida.
1. Na página Identity Providers page, clique em Modify na coluna Operation do provedor de identidade.
2. Copie o link de login exibido na página Modify Identity Provider e visite o link usando um navegador.
3. Se a página de login do IdP empresarial não for exibida, verifique as configurações do provedor de identidade e do servidor IdP empresarial.
Insira o nome de usuário e a senha de um usuário que foi criado no sistema de gerenciamento empresarial.
- Se o login for bem-sucedido, adicione o link de login ao sistema de gerenciamento empresarial.
- Se o login falhar, verifique o nome de usuário e a senha.
Os usuários federados só têm permissões de leitura para a HUAWEI CLOUD por padrão. Para atribuir permissões a usuários federados, configure regras de conversão de identidade para o provedor de identidade. Para obter mais informações, consulte Passo 2: configurar regras de conversão de identidade.

Operações relacionadas

Visualização de informações do provedor de identidade: Na lista de provedores de identidade, clique em View na linha que contém o provedor de identidade e exiba suas informações básicas, metadados e regras de conversão de identidade.

Para modificar as configurações de um provedor de identidade, clique em Modify na parte inferior da página de detalhes.
Modificação de um provedor de identidade: Na lista de provedores de identidade, clique em Modify na linha que contém o provedor de identidade e, em seguida, altere seus status ou modifique a descrição, metadados ou regras de conversão de identidade.
Exclusão de um provedor de identidade: Na lista do provedor de identidade, clique em Delete na linha que contém o provedor de identidade e clique em Yes.

Procedimento de acompanhamento

Configurar as regras de conversão de identidade para mapear usuários do IdP empresarial para grupos de usuários do IAM e conceder permissões aos usuários. Para obter detalhes, consulte Passo 2: configurar regras de conversão de identidade.
Configure o sistema de gerenciamento empresarial para permitir que os usuários acessem a HUAWEI CLOUD por meio do SSO. Para obter detalhes, consulte (Opcional) Passo 3: configurar um link de login no sistema de gerenciamento empresarial.

Tópico principal: Autenticação de identidade federada baseada em OpenID Connect

Tópico anterior: Configuração da autenticação de identidade federada baseada em OpenID Connect

Próximo tópico: Passo 2: configurar regras de conversão de identidade