Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Identity and Access Management/ Guia de usuário/ Provedores de identidade/ Cenários de aplicações de SSO de usuário virtual e SSO de usuário do IAM
Atualizado em 2024-08-31 GMT+08:00
Ver PDF
Compartilhar

Cenários de aplicações de SSO de usuário virtual e SSO de usuário do IAM

O IAM oferece suporte a dois tipos de SSO: SSO de usuário virtual e SSO de usuário do IAM. Esta seção descreve os dois tipos de SSO e suas diferenças, ajudando você a escolher um tipo apropriado para o seu negócio.

SSO de usuário virtual

Depois que um usuário federado faz logon na Huawei Cloud, o sistema cria automaticamente um usuário virtual e atribui permissões ao usuário com base nas regras de conversão de identidade. O SSO de usuário virtual é recomendado se:

  • Para reduzir os custos de gerenciamento, você não deseja criar e gerenciar usuários do IAM na plataforma de nuvem.
  • Você deseja atribuir permissões para recursos de nuvem com base nos grupos de usuários ou atributos em seu IdP empresarial local. As alterações de permissão no IdP empresarial local podem ser sincronizadas com a plataforma de nuvem ajustando os grupos de usuários ou atributos localmente.
  • Sua empresa tem filiais e pode exigir vários IdPs empresariais. Esses IdPs precisam acessar a mesma conta da Huawei Cloud. Você precisa configurar vários IdPs na Huawei Cloud para federação de identidade.

SSO de usuário do IAM

Depois que um usuário federado faz logon na Huawei Cloud, o sistema mapeia automaticamente o ID de identidade externa para um usuário do IAM para que o usuário federado tenha as permissões do usuário do IAM mapeado. O SSO de usuário do IAM é recomendado se:

  • Os produtos de nuvem que você usa (como o CodeArts) não oferecem suporte ao SSO de usuário virtual.
  • Você não precisa de SSO de usuário virtual e deseja simplificar a configuração de IdP.

Diferenças entre o SSO de usuário virtual e o SSO de usuário do IAM

As diferenças entre o SSO de usuário virtual e o SSO de usuário do IAM são descritas a seguir:

1. Conversão de identidade: o SSO de usuário virtual usa regras de conversão de identidade, enquanto o SSO de usuário do IAM usa IDs de identidade externa para conversão de identidade. Se o valor IAM_SAML_Attributes_xUserId de um ou mais usuários de IdP for o mesmo que o ID de identidade externa de um usuário do IAM, esses usuários de IdP serão mapeados para o usuário do IAM. Ao usar o SSO de usuário do IAM, certifique-se de ter definido IAM_SAML_Attributes_xUserId no IdP e External Identity ID no SP com o mesmo valor.

2. Identidade do usuário no IAM: no SSO de usuário virtual, o usuário do IdP não tem um usuário do IAM correspondente na lista de usuários do IAM. Depois que o usuário do IdP faz logon, o sistema cria automaticamente um usuário virtual para ele. No SSO de usuário do IAM, o usuário do IdP tem um usuário do IAM mapeado por ID de identidade externa no console do IAM.

3. Atribuição de permissões no IAM: no SSO de usuário virtual, as permissões do usuário do IdP são definidas pela regra de conversão de identidade. No SSO de usuário do IAM, o usuário do IdP herda as permissões do grupo de usuários ao qual o usuário do IAM mapeado pertence.

Tópico principal: Provedores de identidade