Etapa 1: criar uma entidade IdP
Para estabelecer uma relação de confiança entre um IdP empresarial e a Huawei Cloud, carregue o arquivo de metadados da Huawei Cloud para o IdP empresarial e, em seguida, crie uma entidade IdP e carregue o arquivo de metadados do IdP empresarial no console do IAM.
Estabelecer uma relação de confiança entre o IdP empresarial e a Huawei Cloud
Configure o arquivo de metadados da Huawei Cloud no IdP empresarial para estabelecer uma confiança.
- Baixe o arquivo de metadados da Huawei Cloud.
Visite https://auth-intl.huaweicloud.com/authui/saml/metadata.xml (O Google Chrome é recomendado). Faça o download do arquivo de metadados da Huawei Cloud e defina o nome do arquivo, por exemplo, SP-metadata.xml.
- Faça upload do arquivo de metadados para o servidor de IdP empresarial. Para obter detalhes, consulte a documentação de ajuda do IdP empresarial.
- Obtenha o arquivo de metadados do IdP empresarial. Para obter detalhes, consulte a documentação de ajuda do IdP empresarial.
Criar uma entidade IdP na Huawei Cloud
Para criar uma entidade IdP no console do IAM, faça o seguinte:
- Faça logon no console do IAM, escolha Identity Providers no painel de navegação e clique em Create Identity Provider no canto superior direito.
- Especifique o nome, o protocolo, o tipo de SSO, o status e a descrição da entidade IdP.
Tabela 1 Parâmetros básicos de um IdP Parâmetro
Descrição
Name
Nome do IdP, que deve ser exclusivo globalmente. Você é aconselhado a usar o nome de domínio.
Protocol
Protocolo de IdP. A Huawei Cloud oferece suporte aos protocolos SAML e OpenID Connect. Para obter detalhes sobre a federação de identidade baseada em OpenID Connect, consulte SSO de usuário virtual via OpenID Connect.
SSO Type
Tipo de IdP. Uma conta pode ter apenas um tipo de IdP. A seguir descreve-se o tipo de usuário do IAM.
SSO de usuário do IAM: depois que um usuário federado faz logon na Huawei Cloud, o sistema mapeia automaticamente o ID de identidade externa para um usuário do IAM para que o usuário federado tenha as permissões do usuário do IAM mapeado. Uma conta pode ter apenas um IdP do tipo de usuário do IAM. Se você selecionar o SSO de usuário do IAM, verifique se criou um usuário do IAM e defina a ID de identidade externa. Para mais detalhes, consulte Criação de um usuário do IAM.
Status
Status do IdP. O valor padrão é Enabled.
- Clique em OK.
Configurar o arquivo de metadados do IdP empresarial na Huawei Cloud
Você pode fazer upload do arquivo de metadados ou editar manualmente os metadados no console do IAM. Para um arquivo de metadados maior que 500 KB, configure manualmente os metadados. Se os metadados tiverem sido alterados, carregue o arquivo de metadados mais recente ou edite os metadados existentes para garantir que os usuários federados possam fazer logon na Huawei Cloud com sucesso.
Para obter detalhes sobre como obter o arquivo de metadados de um IdP empresarial, consulte a documentação de ajuda do IdP empresarial.
- Carregar um arquivo de metadados.
- Clique em Modify na linha que contém o IdP.
- Clique em Select File e selecione o arquivo de metadados do IdP empresarial.
Figura 1 Carregar um arquivo de metadados
- Clique em Upload. Os metadados extraídos do arquivo carregado são exibidos. Clique em OK.
- Se o arquivo de metadados carregado contiver vários IdPs, selecione o IdP que deseja usar na lista suspensa Entity ID.
- Se uma mensagem for exibida indicando que nenhum ID de entidade foi especificado ou que o certificado de assinatura expirou, verifique o arquivo de metadados e carregue-o novamente ou configure os metadados manualmente.
- Clique em OK para salvar as configurações.
- Configurar metadados manualmente.
- Clique em Manually configure.
Figura 2 Configuração manual de metadados
- Na caixa de diálogo Configure Metadata, defina os parâmetros de metadados, como Entity ID, Signing Certificate e SingleSignOnService.
Parâmetro
Obrigatório
Descrição
Entity ID
Sim
O identificador exclusivo de um IdP. Digite o valor de entityID exibido no arquivo de metadados do IdP empresarial.
Se o arquivo de metadados contiver vários IdPs, escolha aquele que você deseja usar.
Protocol
Sim
Protocolo usado para federação de identidade entre um IdP empresarial e SP.
O protocolo é selecionado por padrão.
NameIdFormat
Não
Digite o valor de NameIdFormat exibido no arquivo de metadados do IdP.
Especifica o formato de identificador de nome de usuário suportado pelo IdP, que é usado para comunicação entre o IdP e o usuário federado.
Se você configurar vários valores, a Huawei Cloud usa o primeiro valor por padrão.
Signing Certificate
Sim
Insira o valor de <X509Certificate> exibido no arquivo de metadados do IdP.
Um certificado de assinatura é um certificado de chave pública usado para verificação de assinatura. Para fins de segurança, insira uma chave pública contendo pelo menos 2.048 bits. O certificado de assinatura é usado durante a federação de identidade para garantir que as afirmações sejam confiáveis e completas.
Se você configurar vários valores, a Huawei Cloud usa o primeiro valor por padrão.
SingleSignOnService
Sim
Digite o valor de SingleSignOnService exibido no arquivo de metadados do IdP.
Este parâmetro define como as solicitações SAML são enviadas durante o SSO. Ele deve suportar HTTP Redirect ou HTTP POST.
Se você configurar vários valores, a Huawei Cloud usa o primeiro valor por padrão.
SingleLogoutService
Não
Digite o valor de SingleLogoutService exibido no arquivo de metadados do IdP.
Este parâmetro indica o endereço para o qual os usuários federados serão redirecionados após encerrarem suas sessões. Ele deve suportar HTTP Redirect ou HTTP POST.
Se você configurar vários valores, a Huawei Cloud usa o primeiro valor por padrão.
O exemplo a seguir mostra o arquivo de metadados de um IdP empresarial e os metadados configurados manualmente.
Figura 3 Arquivo de metadados de um IdP empresarial
Figura 4 Configuração manual de metadados
- Clique em OK para salvar as configurações.
- Clique em Manually configure.
