Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda/ Identity and Access Management/ Referencia de la API/ API/ Gestión de autenticación de identidades federadas/ Obtención de un token a través de la autenticación de identidad federada/ SP iniciado

Actualización más reciente 2024-08-01 GMT+08:00

Ver PDF

SP iniciado

OpenStack y Shibboleth son soluciones populares de código abierto para la autenticación de identidades federadas. Proporcionan potentes capacidades SSO para conectar a los usuarios a aplicaciones empresariales internas y externas. Esta sección describe cómo usar OpenStackClient y Shibboleth ECP Client para obtener un token de autenticación federado.

Diagrama de flujo

La siguiente figura muestra el proceso de autenticación de federación iniciada por SP.

Figura 1 Diagrama de flujo (iniciado por SP)

Descripción

El cliente llama a la API utilizada para obtener un token federado en modo iniciado por SP.
La plataforma en la nube busca un archivo de metadatos basado en la información de usuario e IdP en la URL y envía una solicitud SAML al cliente.
El cliente encapsula la solicitud SAML y reenvía la solicitud al IdP.
Un usuario introduce un nombre de usuario y una contraseña en el servidor IdP para la autenticación de identidad.
Después de autenticar al usuario, el IdP construye una aserción que lleva la información de identidad del usuario y envía una respuesta SAML al cliente.
El cliente encapsula la respuesta SAML y reenvía la respuesta a la plataforma en la nube.
La plataforma en la nube verifica y autentica la aserción, y genera una credencial de acceso temporal de acuerdo con las reglas de conversión de identidad del usuario configurado para el proveedor de identidad.
El usuario puede acceder a los recursos de la nube pública en función de los permisos asignados.

OpenStackClient

OpenStackClient es un cliente de línea de comandos que solo puede instalar un usuario con permisos de root. La configuración de este cliente solo requiere permisos de usuario comunes.

Llama a las API en un entorno de red seguro (en un servidor VPN o en la nube). De lo contrario, puede encontrarse con ataques de hombre en el medio (MITM).

Cree un archivo de variable de entorno en el directorio de instalación de OpenStackClient y agregue el nombre de usuario, la contraseña, la región, la versión del protocolo SAML y la dirección IAM en el archivo. Tabla 1 describe los parámetros.

Por ejemplo:

export OS_IDENTITY_API_VERSION=3

export OS_AUTH_TYPE=v3samlpassword

export OS_AUTH_URL=https://iam.eu-de.otc.t-systems.com:443/v3

export OS_AUTH_URL=https://example:443/v3

export OS_IDENTITY_PROVIDER=idpid

export OS_PROTOCOL=saml

export OS_IDENTITY_PROVIDER_URL=https://idp.example.com/idp/profile/SAML2/SOAP/ECP

export OS_USERNAME=username

export OS_PASSWORD=userpassword

export OS_DOMAIN_NAME=example-domain-name

**Tabla 1** Descripción del parámetro
Parámetro	Descripción
OS_IDENTITY_API_VERSION	Versión de la API de autenticación. El valor se fija en 3.
OS_AUTH_TYPE	Tipo de autenticación. El valor se fija en v3samlpassword.
OS_AUTH_URL	URL de autenticación. El formato de valor es de https://IAM _address:Port_number/API_version. Port_number se fija en 443. API_version se fija en v3.
OS_IDENTITY_PROVIDER	Nombre de un proveedor de identidad creado en la plataforma en la nube. Por ejemplo: Publiccloud-Shibboleth.
OS_DOMAIN_NAME	Nombre de la cuenta que se va a autenticar
OS_PROTOCOL	Versión del protocolo SAML. El valor se fija en saml.
OS_IDENTITY_PROVIDER_URL	URL del proveedor de identidad utilizado para manejar las solicitudes de autenticación iniciadas por ECP
OS_USERNAME	Nombre de un usuario autenticado mediante el proveedor de identidad
OS_PASSWORD	Contraseña del usuario

Ejecute el siguiente comando para establecer variables de entorno:

source keystonerc

Ejecute el siguiente comando para obtener un token:

openstack token issue

>>openstack token issue 
command: token issue -> openstackclient.identity.v3.token.IssueToken (auth=True)
Using auth plugin: v3samlpassword
+-----------------------------------------------------------------------------------------------------------
| Field   | Value
| expires | 2018-04-16T03:46:51+0000                              
| id      | MIIDbQYJKoZIhvcNAQcCoIIDXjXXX...
| user_id | 9B7CJy5ME14f0fQKhb6HJVQdpXXX...

En la salida del comando, id es el token de autenticación federado obtenido.

Cliente de Shibboleth ECP

Configure los archivos metadata-providers.xml en Shibboleth IdP v3 y colóquelos en la ruta correspondiente.

<MetadataProvider id="LocalMetadata1"xsi:type="FilesystemMetadataProvider" metadataFile="C:\Program Files (x86)\Shibboleth\IdP\metadata\web_metadata.xml"/>
<MetadataProvider id="LocalMetadata2"xsi:type="FilesystemMetadataProvider" metadataFile="C:\Program Files (x86)\Shibboleth\IdP\metadata\api_metadata.xml"/>

MetadataProvider id indica el nombre del archivo de metadatos descargado del sistema SP.
metadataFile indica la ruta para almacenar el archivo de metadatos del sistema SP en el sistema IdP.

Configure el archivo attribute-filter.xml en Shibboleth IdP v3.

<afp:AttributeFilterPolicy id="example1">
    <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://auth.example.com/" />
    <afp:AttributeRule attributeID="eduPersonPrincipalName">
        <afp:PermitValueRule xsi:type="basic:ANY" />
    </afp:AttributeRule>
    <afp:AttributeRule attributeID="uid">
        <afp:PermitValueRule xsi:type="basic:ANY" />
    </afp:AttributeRule>
    <afp:AttributeRule attributeID="mail">
        <afp:PermitValueRule xsi:type="basic:ANY" />
    </afp:AttributeRule>
</afp:AttributeFilterPolicy>

<afp:AttributeFilterPolicy id="example2">
    <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://iam.{region_id}.example.com" />
    <afp:AttributeRule attributeID="eduPersonPrincipalName">
        <afp:PermitValueRule xsi:type="basic:ANY" />
    </afp:AttributeRule>
    <afp:AttributeRule attributeID="uid">
        <afp:PermitValueRule xsi:type="basic:ANY" />
    </afp:AttributeRule>
    <afp:AttributeRule attributeID="mail">
        <afp:PermitValueRule xsi:type="basic:ANY" />
    </afp:AttributeRule>
</afp:AttributeFilterPolicy>

AttributeFilterPolicy id indica el nombre del archivo de metadatos descargado del sistema SP.

value indica el EntityID en el archivo de metadatos del sistema SP.

Configure el punto final del sistema IdP en el script ecp.py.

# mapping from user friendly names or tags to IdP ECP enpoints
IDP_ENDPOINTS = {
    "idp1": "https://idp.example.com/idp/profile/SAML2/SOAP/ECP"
}

Ejecute el script ecp.py para obtener un token de autenticación federado.

>>python ecp.py
Usage: ecp.py [options] IdP_tag target_url login
>>python ecp.py -d idp1 https://iam.{region_id}.example.com/v3/OS-FEDERATION/identity_providers/idp_example/protocols/saml/auth {username}
X-Subject-Token: MIIDbQYJKoZIhvcNAQcCoIIDXXX...

X-Subject-Token es el token de autenticación federado obtenido.

Tema principal: Obtención de un token a través de la autenticación de identidad federada

Tema anterior: Obtención de un token a través de la autenticación de identidad federada

Tema siguiente: IdP iniciado

Comentarios

¿Le pareció útil esta página?

Sí No

Deje algún comentario

Muchas gracias por sus comentarios. Seguiremos trabajando para mejorar la documentación.

El sistema está ocupado. Vuelva a intentarlo más tarde.

¿Cuáles de los siguientes problemas se presentaron?

Contenido diferente a la de la IU del producto

Descripciones poco claras

Falta de ejemplos o código

Pasos incorrectos

No puedo encontrar lo que necesito

Falta de prácticas recomendadas

Comentarios (opcional)

0/500

Seleccione al menos un tipo de problema e ingrese sus comentarios o sugerencias.

Ingrese 500 caracteres como máximo.

Enviar Cancelar