Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Identity and Access Management/ Guia de usuário/ Agente identificador personalizado/ Ativação do acesso ao corretor de identidade personalizado com um token
Atualizado em 2024-08-31 GMT+08:00
Ver PDF
Compartilhar

Ativação do acesso ao corretor de identidade personalizado com um token

Se o IdP da sua empresa não for compatível com SAML ou OpenID Connect, você poderá criar um corretor de identidade personalizado para permitir o acesso à Huawei Cloud. Você pode escrever e executar código para gerar um URL de logon. Os usuários da sua empresa podem usar o URL para fazer logon na Huawei Cloud. Os usuários serão autenticados pelo seu IdP empresarial.

Se o seu IdP empresarial for compatível com SAML ou OpenID Connect, configure a federação de identidade para permitir que os usuários da sua empresa acessem a Huawei Cloud por meio do SSO.

Pré-requisitos

  • Sua empresa tem um sistema de gerenciamento empresarial.
  • O administrador da empresa criou uma conta (por exemplo, DomainA) na Huawei Cloud.

Procedimento

  1. Use a conta DomainA para criar um usuário do IAM (por exemplo, UserB) seguindo as instruções em Criação de um usuário do IAM.
  2. (Opcional) Adicione UserB a um grupo de usuários (por exemplo, GroupC) e conceda permissões ao grupo de usuários seguindo as instruções em Criação de um grupo de usuários e atribuição de permissões.
  3. Configure a chave de acesso (recomendado) ou o nome de usuário e a senha de UserB no arquivo de configuração do seu IdP empresarial para que o usuário possa obter um token de usuário. Para segurança da conta, criptografe a senha e a chave de acesso antes de armazená-las.
  4. Efetue logon no sistema de gerenciamento empresarial, acesse o corretor de identidade personalizado selecionando um usuário comum na lista de usuários. Para obter detalhes, consulte a documentação do sistema de gerenciamento empresarial. Para este exemplo, selecione o usuário UserB.

    A lista de usuários do corretor personalizado é a mesma que a lista de usuários do IAM na sua conta da Huawei Cloud. Para alinhar esses usuários do IAM com as contas de usuário da sua empresa, configure as chaves de acesso dos usuários do IAM (recomendado) ou nomes de usuário e senhas no arquivo de configuração do IdP empresarial.

  5. O corretor de identidade personalizado usa o token de userB para chamar a API POST /v3.0/OS-CREDENTIAL/securitytokens usada para obter uma chave de acesso temporária e um token de segurança. Para obter detalhes, consulte Obtenção de uma chave de acesso temporária e de um token de segurança por meio de um token.
  6. O corretor de identidade personalizado usa a chave de acesso temporária, o token de segurança e o nome de domínio global do IAM (iam.myhuaweicloud.com) para chamar a API POST /v3.0/OS-AUTH/securitytoken/logintokens para obter um loginToken. O valor de X-Subject-LoginToken no cabeçalho da resposta é um loginToken. Para obter detalhes, consulte Obtenção de um token de logon.

    • Para obter um loginToken chamando a API POST /v3.0/OS-AUTH/securitytoken/logintokens, use o nome de domínio global (iam.myhuaweicloud.com) do IAM.
    • Um loginToken é emitido para um usuário fazer logon por meio de um corretor de identidade personalizado e contém informações de identidade e sessão sobre o usuário. Um loginToken é válido por 10 minutos por padrão.
    • Você pode definir o período de validade de um loginToken chamando a API POST /v3.0/OS-AUTH/securitytoken/logintokens. O período de validade varia de 10 minutos a 12 horas. Se o valor que você especificou for maior que o período de validade restante do token de segurança temporário, será usado o período de validade restante do securityToken temporário.

  7. O corretor de identidade personalizado gera um FederationProxyUrl e o retorna ao navegador por meio de Location. 

    https://auth.huaweicloud.com/authui/federation/login?idp_login_url={enterprise_system_loginURL}&service={console_service_region_url}&logintoken={logintoken}

    Exemplo:

    https://auth.huaweicloud.com/authui/federation/login?idp_login_url=https%3A%2F%2Fexample.com&service=https%3a%2f%2fconsole.huaweicloud.com%2fapm%2f%3fregion%3dcn-north-4%23%2fapm%2fatps%2ftopology&logintoken=******
    Tabela 1 Descrição do parâmetro

    Parâmetro

    Descrição

    idp_login_url

    URL de logon do sistema de gerenciamento empresarial.

    service

    Endereço de acesso de um serviço da Huawei Cloud.

    logintoken

    LoginToken do corretor de identidade personalizado.

    Para obter detalhes sobre como criar um FederationProxyUrl, veja o exemplo fornecido em Criação de um FederationProxyUrl usando um token.

    O FederationProxyUrl contém o loginToken obtido do IAM e o valor de cada parâmetro no FederationProxyUrl é codificado usando URLEncode.

  8. Se o loginToken for autenticado com sucesso, você será automaticamente redirecionado para o endereço de serviço da Huawei Cloud especificado no parâmetro service.

    Se o loginToken não for autenticado, você será redirecionado para o endereço especificado em idp_login_url.