Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Identity and Access Management/ Guia de usuário/ Agente identificador personalizado/ Habilitação do acesso do agente de identidade personalizado com um Token
Atualizado em 2023-11-25 GMT+08:00
Ver PDF

Habilitação do acesso do agente de identidade personalizado com um Token

Se o IdP da sua empresa não for compatível com SAML ou OpenID Connect, você poderá criar um agente de identidade personalizado para habilitar o acesso à HUAWEI CLOUD. Você pode escrever e executar código para gerar uma URL de login. Os usuários da sua empresa podem usar a URL para fazer login na HUAWEI CLOUD. Os usuários serão autenticados pelo seu IdP empresarial.

Se o IdP empresarial for compatível com SAML ou OpenID Connect, configure a autenticação de identidade federada para permitir que os usuários da sua empresa acessem a HUAWEI CLOUD por meio do SSO.

Pré-requisitos

  • Sua empresa possui um sistema de gerenciamento empresarial.
  • Você registrou uma conta (por exemplo, DomainA) na HUAWEI CLOUD como um administrador empresarial.

Procedimento

  1. Use a conta DomainA para criar um usuário do IAM (por exemplo, UserB) seguindo as instruções em Criação de um usuário do IAM.
  2. (Opcional) Adicione UserB a um grupo de usuários (por exemplo, GroupC) e conceda permissões ao grupo de usuários seguindo as instruções em Criação de um grupo de usuários e atribuição de permissões.
  3. Configure a chave de acesso (recomendado) ou o nome de usuário e senha de UserB no arquivo de configuração do seu IdP empresarial para que o usuário possa obter um token. Para segurança da conta, criptografe a senha e a chave de acesso antes de armazená-las.
  4. Faça login no sistema de gerenciamento empresarial, acesse o agente de identidade personalizado selecionando um usuário comum na lista de usuários. Para obter detalhes, consulte a documentação do sistema de gerenciamento empresarial. Para este exemplo, selecione o usuário UserB criado em 2.

    A lista de usuários do agente personalizado é a mesma que a lista de usuários do IAM sob sua conta da HUAWEI CLOUD. Para alinhar esses usuários do IAM com as contas de usuário da sua empresa, configure as chaves de acesso dos usuários do IAM (recomendado) ou nomes de usuário e senhas no arquivo de configuração do IdP empresarial.

  5. O agente de identidade personalizado usa o token de userB para chamar a API POST /v3.0/OS-CREDENTIAL/securitytokens usada para obter uma chave de acesso temporário e securityToken. Para obter detalhes, consulte Obtenção de uma chave de acesso temporária e SecurityToken por meio de um Token.
  6. O agente de identidade personalizado usa a chave de acesso temporária, o securityToken e o nome de domínio global do IAM (auth.huaweicloud.com) para chamar a API POST /v3.0/OS-AUTH/securitytoken/logintokens para obter um loginToken. O valor de X-Subject-LoginToken no response header é um loginToken. Para obter detalhes, consulte Obtenção de um LoginToken.

    • Para obter um loginToken chamando a API POST /v3.0/OS-AUTH/securitytoken/logintokens, use o nome de domínio global (auth.huaweicloud.com) do IAM.
    • Um loginToken é emitido a um usuário para fazer login através de um agente de identidade personalizado e contém informações de identidade e sessão sobre o usuário. Um loginToken é válido por 10 minutos por padrão.
    • Você pode definir o período de validade de um loginToken chamando a API POST /v3.0/OS-AUTH/securitytoken/logintokens. O prazo de validade varia de 10 minutos a 12 horas. Se o valor que você especificou for maior que o período de validade restante do securityToken temporário, o período de validade restante do securityToken temporário será usado.

  7. O agente de identidade personalizado gera um FederationProxyUrl e o retorna ao navegador por meio do Location.

    https://auth.huaweicloud.com/authui/federation/login?idp_login_url={enterprise_system_loginURL}&service={console_service_region_url}&logintoken={logintoken}

    Exemplo:

    https://auth.huaweicloud.com/authui/federation/login?idp_login_url=https%3A%2F%2Fexample.com&service=https%3a%2f%2fconsole.huaweicloud.com%2fapm%2f%3fregion%3dcn-north-4%23%2fapm%2fatps%2ftopology&logintoken=******
    Tabela 1 Descrição do parâmetro

    Parâmetro

    Descrição

    idp_login_url

    URL de login do sistema de gerenciamento empresarial.

    service

    Endereço de acesso de um serviço HUAWEI CLOUD.

    logintoken

    LoginToken do agente de identidade personalizado.

    Para obter detalhes sobre como criar um FederationProxyUrl, veja o exemplo fornecido em Criação de um FederationProxyUrl usando um Token.

    O FederationProxyUrl contém o loginToken obtido do IAM e o valor de cada parâmetro no FederationProxyUrl é codificado usando URLEncode.

  8. Se o loginToken for autenticado com êxito, você será automaticamente redirecionado para o endereço de serviço da HUAWEI CLOUD especificado no parâmetro service.

    Se o loginToken falhar ao ser autenticado, você será redirecionado para o endereço especificado em idp_login_url.