Visão geral do SSO de usuário do IAM via SAML
Huawei Cloud suporta federação de identidade com Security Assertion Markup Language (SAML), que é um padrão aberto usado por muitos provedores de identidade (IdPs). Durante a federação de identidade, a Huawei Cloud funciona como um provedor de serviços (SP) e as empresas funcionam como IdPs. A federação baseada em SAML permite o logon único (SSO), para que os funcionários da sua empresa possam fazer logon na Huawei Cloud como usuários do IAM.
Esta seção descreve como configurar a federação de identidades e como funciona a federação de identidades.
Certifique-se de que o seu IdP empresarial ofereça suporte à SAML 2.0.
Configurar a federação de identidade
A seguir, descrevemos como configurar o seu IdP empresarial e a Huawei Cloud para que confiem um no outro.
- Criar uma entidade IdP e estabelecer uma relação de confiança: crie uma entidade IdP para sua empresa na Huawei Cloud. Em seguida, faça o upload do arquivo de metadados da Huawei Cloud para o IdP empresarial e faça o upload do arquivo de metadados do IdP empresarial para a Huawei Cloud.
Figura 2 Troca de arquivos de metadados
- Configurar o IdP empresarial: configure parâmetros de IdP empresarial para determinar quais informações podem ser enviadas para a Huawei Cloud.
- Configurar um ID de identidade externa: estabeleça um mapeamento entre um usuário do IAM e um usuário empresarial. Quando seu IdP empresarial estabelece acesso SSO à Huawei Cloud, o usuário empresarial pode fazer logon na Huawei Cloud como o usuário do IAM com o ID de identidade externa especificado. Por exemplo, se um usuário empresarial IdP_Test_User for mapeado para o usuário do IAM Alice, o usuário empresarial IdP_Test_User efetuará logon na Huawei Cloud como o usuário do IAM Alice.
Figura 3 Mapeamento de identidades externas para usuários do IAM
- Verificar o logon federado: verifique se o usuário empresarial pode fazer logon na Huawei Cloud por meio de SSO.
- (Opcional) Configurar uma entrada de logon federada: configure o link de logon (consulte Figura 4) no IdP empresarial para permitir que os usuários empresariais sejam redirecionados para a Huawei Cloud a partir do seu sistema de gerenciamento empresarial.
Como funciona a federação de identidade
Figura 5 mostra o processo de federação de identidade entre um sistema de gerenciamento empresarial e a Huawei Cloud.
Para visualizar solicitações e asserções interativas com uma experiência melhor, é recomendável usar o Google Chrome e instalar o SAML Message Decoder.
- Um usuário abre o link de logon gerado após a criação do IdP no navegador. O navegador envia uma solicitação de SSO para a Huawei Cloud.
- A Huawei Cloud autentica o usuário no arquivo de metadados do IdP empresarial e constrói uma solicitação SAML para o navegador.
- O navegador encaminha a solicitação SAML para o IdP empresarial.
- O usuário insere seu nome de usuário e senha na página de logon. Depois que o IdP empresarial autentica a identidade do usuário, ele constrói uma asserção SAML contendo os detalhes do usuário e envia a asserção ao navegador como uma resposta SAML.
- O navegador responde e encaminha a resposta SAML para a Huawei Cloud.
- A Huawei Cloud analisa a asserção na resposta SAML, identifica o mapeamento do grupo de usuários do IAM para o usuário com base nas regras de conversão de identidade e emite um token para o usuário.
- O logon do SSO foi bem-sucedido.
A afirmação deve conter uma assinatura; caso contrário, o logon falhará.