Configuração da autenticação de identidade federada baseada em OpenID Connect
Esta seção descreve o processo e a configuração da autenticação de identidade federada baseada em OpenID Connect entre um IdP empresarial e a HUAWEI CLOUD.
Configuração de autenticação de identidade federada
Para implementar a autenticação de identidade federada entre um sistema de gerenciamento empresarial e a HUAWEI CLOUD, conclua a seguinte configuração:
- Estabelecer uma relação de confiança e criar um provedor de identidade: Crie credenciais do OAuth 2.0 no IdP corporativo e crie um provedor de identidade na HUAWEI CLOUD.
- Configurar regras de conversão de identidade: Mapeie os usuários, grupos de usuários e suas permissões no IdP empresarial para a HUAWEI CLOUD.
- Configurar um link de login: Configure um link de login no sistema de gerenciamento empresarial para permitir que os usuários acessem a HUAWEI CLOUD por meio do SSO.
Processo de autenticação de identidade federada
Figura 1 mostra a interação entre um sistema de gerenciamento empresarial e a HUAWEI CLOUD depois de um usuário iniciar uma solicitação SSO.
O processo de autenticação de identidade federada é o seguinte:
- Um usuário usa um navegador para abrir o link de login obtido do IAM e, em seguida, o navegador envia uma solicitação SSO para a HUAWEI CLOUD.
- A HUAWEI CLOUD procura configurações do provedor de identidade com base no link de login e envia um request OpenID Connect authorization ao navegador.
- O navegador encaminha o request authorization para o IdP empresarial.
- O usuário insere seu nome de usuário e senha na página de login exibida no IdP empresarial. Depois de o IdP empresarial autentica a identidade do usuário, ele constrói um ID token contendo as informações do usuário e envia o ID token para o navegador como uma response OpenID Connect authorization.
- O navegador responde e encaminha a response authorization para a HUAWEI CLOUD.
- A HUAWEI CLOUD analisa o ID token na response authorization e emite um token para o usuário depois de identificar o grupo para o qual o usuário está mapeado, de acordo com as regras de conversão de identidade configuradas.
- Se o login for bem-sucedido, o usuário acessa a HUAWEI CLOUD com sucesso.