Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Actualización más reciente 2024-08-01 GMT+08:00

SP iniciado

OpenStack y Shibboleth son soluciones populares de código abierto para la autenticación de identidades federadas. Proporcionan potentes capacidades SSO para conectar a los usuarios a aplicaciones empresariales internas y externas. Esta sección describe cómo usar OpenStackClient y Shibboleth ECP Client para obtener un token de autenticación federado.

Diagrama de flujo

La siguiente figura muestra el proceso de autenticación de federación iniciada por SP.

Figura 1 Diagrama de flujo (iniciado por SP)

Descripción

  1. El cliente llama a la API utilizada para obtener un token federado en modo iniciado por SP.
  2. La plataforma en la nube busca un archivo de metadatos basado en la información de usuario e IdP en la URL y envía una solicitud SAML al cliente.
  3. El cliente encapsula la solicitud SAML y reenvía la solicitud al IdP.
  4. Un usuario introduce un nombre de usuario y una contraseña en el servidor IdP para la autenticación de identidad.
  5. Después de autenticar al usuario, el IdP construye una aserción que lleva la información de identidad del usuario y envía una respuesta SAML al cliente.
  6. El cliente encapsula la respuesta SAML y reenvía la respuesta a la plataforma en la nube.
  7. La plataforma en la nube verifica y autentica la aserción, y genera una credencial de acceso temporal de acuerdo con las reglas de conversión de identidad del usuario configurado para el proveedor de identidad.
  8. El usuario puede acceder a los recursos de la nube pública en función de los permisos asignados.

OpenStackClient

OpenStackClient es un cliente de línea de comandos que solo puede instalar un usuario con permisos de root. La configuración de este cliente solo requiere permisos de usuario comunes.

Llama a las API en un entorno de red seguro (en un servidor VPN o en la nube). De lo contrario, puede encontrarse con ataques de hombre en el medio (MITM).

  1. Cree un archivo de variable de entorno en el directorio de instalación de OpenStackClient y agregue el nombre de usuario, la contraseña, la región, la versión del protocolo SAML y la dirección IAM en el archivo. Tabla 1 describe los parámetros.

    Por ejemplo:

    export OS_IDENTITY_API_VERSION=3

    export OS_AUTH_TYPE=v3samlpassword

    export OS_AUTH_URL=https://iam.eu-de.otc.t-systems.com:443/v3

    export OS_AUTH_URL=https://example:443/v3

    export OS_IDENTITY_PROVIDER=idpid

    export OS_PROTOCOL=saml

    export OS_IDENTITY_PROVIDER_URL=https://idp.example.com/idp/profile/SAML2/SOAP/ECP

    export OS_USERNAME=username

    export OS_PASSWORD=userpassword

    export OS_DOMAIN_NAME=example-domain-name

    Tabla 1 Descripción del parámetro

    Parámetro

    Descripción

    OS_IDENTITY_API_VERSION

    Versión de la API de autenticación. El valor se fija en 3.

    OS_AUTH_TYPE

    Tipo de autenticación. El valor se fija en v3samlpassword.

    OS_AUTH_URL

    URL de autenticación. El formato de valor es de https://IAM _address:Port_number/API_version.

    • Port_number se fija en 443.
    • API_version se fija en v3.

    OS_IDENTITY_PROVIDER

    Nombre de un proveedor de identidad creado en la plataforma en la nube. Por ejemplo: Publiccloud-Shibboleth.

    OS_DOMAIN_NAME

    Nombre de la cuenta que se va a autenticar

    OS_PROTOCOL

    Versión del protocolo SAML. El valor se fija en saml.

    OS_IDENTITY_PROVIDER_URL

    URL del proveedor de identidad utilizado para manejar las solicitudes de autenticación iniciadas por ECP

    OS_USERNAME

    Nombre de un usuario autenticado mediante el proveedor de identidad

    OS_PASSWORD

    Contraseña del usuario

  2. Ejecute el siguiente comando para establecer variables de entorno:

    source keystonerc

  3. Ejecute el siguiente comando para obtener un token:

    openstack token issue

    >>openstack token issue 
    command: token issue -> openstackclient.identity.v3.token.IssueToken (auth=True)
    Using auth plugin: v3samlpassword
    +-----------------------------------------------------------------------------------------------------------
    | Field   | Value
    | expires | 2018-04-16T03:46:51+0000                              
    | id      | MIIDbQYJKoZIhvcNAQcCoIIDXjXXX...
    | user_id | 9B7CJy5ME14f0fQKhb6HJVQdpXXX...

    En la salida del comando, id es el token de autenticación federado obtenido.

Cliente de Shibboleth ECP

  1. Configure los archivos metadata-providers.xml en Shibboleth IdP v3 y colóquelos en la ruta correspondiente.

    <MetadataProvider id="LocalMetadata1"xsi:type="FilesystemMetadataProvider" metadataFile="C:\Program Files (x86)\Shibboleth\IdP\metadata\web_metadata.xml"/>
    <MetadataProvider id="LocalMetadata2"xsi:type="FilesystemMetadataProvider" metadataFile="C:\Program Files (x86)\Shibboleth\IdP\metadata\api_metadata.xml"/>
    • MetadataProvider id indica el nombre del archivo de metadatos descargado del sistema SP.
    • metadataFile indica la ruta para almacenar el archivo de metadatos del sistema SP en el sistema IdP.

  2. Configure el archivo attribute-filter.xml en Shibboleth IdP v3.

    <afp:AttributeFilterPolicy id="example1">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://auth.example.com/" />
        <afp:AttributeRule attributeID="eduPersonPrincipalName">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="uid">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>
    
    <afp:AttributeFilterPolicy id="example2">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://iam.{region_id}.example.com" />
        <afp:AttributeRule attributeID="eduPersonPrincipalName">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="uid">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

    AttributeFilterPolicy id indica el nombre del archivo de metadatos descargado del sistema SP.

    value indica el EntityID en el archivo de metadatos del sistema SP.

  3. Configure el punto final del sistema IdP en el script ecp.py.

    # mapping from user friendly names or tags to IdP ECP enpoints
    IDP_ENDPOINTS = {
        "idp1": "https://idp.example.com/idp/profile/SAML2/SOAP/ECP"
    }

  4. Ejecute el script ecp.py para obtener un token de autenticación federado.

    >>python ecp.py
    Usage: ecp.py [options] IdP_tag target_url login
    >>python ecp.py -d idp1 https://iam.{region_id}.example.com/v3/OS-FEDERATION/identity_providers/idp_example/protocols/saml/auth {username}
    X-Subject-Token: MIIDbQYJKoZIhvcNAQcCoIIDXXX...

    X-Subject-Token es el token de autenticación federado obtenido.