Habilitação do acesso do agente de identidade personalizado com uma agência
Se o IdP da sua empresa não for compatível com SAML ou OpenID Connect, você poderá criar um agente de identidade personalizado para permitir o acesso à HUAWEI CLOUD. Você pode escrever e executar código para gerar uma URL de login. Os usuários da sua empresa podem usar a URL para fazer login na HUAWEI CLOUD. Os usuários serão autenticados pelo seu IdP empresarial.
Se o IdP da sua empresa for compatível com SAML ou OpenID Connect, configure a autenticação de identidade federada para permitir que os usuários da sua empresa acessem a HUAWEI CLOUD por meio do SSO.
Pré-requisitos
- Sua empresa possui um sistema de gerenciamento empresarial.
- Você registrou uma conta (por exemplo, DomainA) na HUAWEI CLOUD como um administrador empresarial e criou um grupo de usuários (por exemplo, GroupC) e atribuiu a ele a função Agent Operator. (Para obter detalhes, consulte Criação de um grupo de usuários e atribuição de permissões..)
Procedimento
- Use a conta DomainA para criar um usuário do IAM (por exemplo, UserB) e adicione o usuário ao GroupC seguindo as instruções em Adição de usuários a um grupo de usuários.
Certifique-se de que o usuário do IAM pode acessar programaticamente os serviços da HUAWEI CLOUD. Para obter detalhes sobre como alterar o tipo de acesso, consulte Exibição ou modificação das informações do usuário do IAM.
- Configure a chave de acesso (recomendado) ou o nome de usuário e senha de UserB no arquivo de configuração do seu IdP empresarial para que o usuário possa obter um token para chamar as APIs. Para segurança da conta, criptografe a senha e a chave de acesso antes de armazená-las.
- No painel de navegação do console do IAM, escolha Agencies. Em seguida, clique em Create Agency no canto superior direito.
- Defina os parâmetros da agência.
Por exemplo, defina o nome da agência como testagency, o tipo de agência como Account e delegue conta como DomainA. Defina o período de validade e clique em Next.
Figura 1 Criação de uma agência
- Defina o escopo de autorização e selecione as permissões que deseja conceder à agência.
- No IdP empresarial, crie um grupo de usuários chamado testagency (o mesmo nome da agência criada no 4), adicione usuários empresariais ao grupo e conceda permissões para fazer login na HUAWEI CLOUD por meio de um agente de identidade personalizado. Para obter detalhes, consulte a documentação do IdP empresarial.
- Depois de um usuário empresarial fazer login no sistema de gerenciamento empresarial, o usuário poderá acessar o agente de identidade personalizado do IdP empresarial selecionando uma agência na lista de agências. O usuário pode obter a agência do administrador de segurança ou do usuário raiz. Para obter detalhes, consulte a documentação do sistema de gerenciamento empresarial.
As agências do agente de identidade devem existir na HUAWEI CLOUD e ter os mesmos nomes que alguns grupos de usuários criados no IdP empresarial.
- O agente de identidade personalizado usa o token de userB para chamar a API POST /v3.0/OS-CREDENTIAL/securitytokens usada para obter um securityToken temporário. Para obter detalhes, consulte Obtenção de uma chave de acesso temporária e SecurityToken por meio de uma agência.
Ao obter um securityToken com uma agência, defina o parâmetro session_user.name no corpo da solicitação.
- O agente de identidade personalizado usa a chave de acesso temporária, o securityToken e o nome de domínio global do IAM (auth.huaweicloud.com) para chamar a API POST /v3.0/OS-AUTH/securitytoken/logintokens para obter um loginToken. O valor de X-Subject-LoginToken no response header é um loginToken. Para obter detalhes, consulte Obtenção de um LoginToken.
- Para obter um loginToken chamando a API POST /v3.0/OS-AUTH/securitytoken/logintokens, use o nome de domínio global (auth.huaweicloud.com) do IAM.
- Um loginToken é emitido a um usuário para fazer login através de um agente de identidade personalizado e contém informações de identidade e sessão sobre o usuário. Um loginToken é válido por 10 minutos por padrão. Os LoginTokens são necessários para autenticação quando os usuários fazem login em um console de serviço usando o FederationProxyUrl.
- Você pode definir o período de validade de um loginToken chamando a API POST /v3.0/OS-AUTH/securitytoken/logintokens. O prazo de validade varia de 10 minutos a 12 horas. Se o valor que você especificou for maior que o período de validade restante do securityToken temporário, o período de validade restante do securityToken temporário será usado.
- O agente de identidade personalizado gera um FederationProxyUrl e o retorna ao navegador por meio do Location. O FederationProxyUrl será no seguinte formato:
https://auth.huaweicloud.com/authui/federation/login?idp_login_url={enterprise_system_loginURL}&service={console_service_region_url}&logintoken={logintoken}
Exemplo:
https://auth.huaweicloud.com/authui/federation/login?idp_login_url=https%3A%2F%2Fexample.com&service=https%3a%2f%2fconsole.huaweicloud.com%2fapm%2f%3fregion%3dcn-north-4%23%2fapm%2fatps%2ftopology&logintoken=******
Tabela 1 Descrição do parâmetro Parâmetro
Descrição
idp_login_url
URL de login do sistema de gerenciamento empresarial.
Serviço
Endereço de acesso de um serviço da HUAWEI CLOUD.
logintoken
LoginToken do agente de identidade personalizado.
Para obter detalhes sobre como criar um FederationProxyUrl, veja o exemplo fornecido em Criação de um FederationProxyUrl usando uma agência.
O FederationProxyUrl contém o loginToken que foi obtido do IAM e é codificado por porcentual.
- Se o loginToken for autenticado com êxito, os usuários federados serão automaticamente redirecionados para o endereço de serviço da HUAWEI CLOUD especificado no parâmetro service.
Se o loginToken falhar ao ser autenticado, os usuários serão redirecionados para o endereço especificado em idp_login_url.
