SP iniciado
OpenStack y Shibboleth son soluciones populares de código abierto para la autenticación de identidades federadas. Proporcionan potentes capacidades SSO para conectar a los usuarios a aplicaciones empresariales internas y externas. Esta sección describe cómo usar OpenStackClient y Shibboleth ECP Client para obtener un token de autenticación federado.
Diagrama de flujo
La siguiente figura muestra el proceso de autenticación de federación iniciada por SP.
Descripción
- El cliente llama a la API utilizada para obtener un token federado en modo iniciado por SP.
- La plataforma en la nube busca un archivo de metadatos basado en la información de usuario e IdP en la URL y envía una solicitud SAML al cliente.
- El cliente encapsula la solicitud SAML y reenvía la solicitud al IdP.
- Un usuario introduce un nombre de usuario y una contraseña en el servidor IdP para la autenticación de identidad.
- Después de autenticar al usuario, el IdP construye una aserción que lleva la información de identidad del usuario y envía una respuesta SAML al cliente.
- El cliente encapsula la respuesta SAML y reenvía la respuesta a la plataforma en la nube.
- La plataforma en la nube verifica y autentica la aserción, y genera una credencial de acceso temporal de acuerdo con las reglas de conversión de identidad del usuario configurado para el proveedor de identidad.
- El usuario puede acceder a los recursos de la nube pública en función de los permisos asignados.
OpenStackClient
OpenStackClient es un cliente de línea de comandos que solo puede instalar un usuario con permisos de root. La configuración de este cliente solo requiere permisos de usuario comunes.
Llama a las API en un entorno de red seguro (en un servidor VPN o en la nube). De lo contrario, puede encontrarse con ataques de hombre en el medio (MITM).
- Cree un archivo de variable de entorno en el directorio de instalación de OpenStackClient y agregue el nombre de usuario, la contraseña, la región, la versión del protocolo SAML y la dirección IAM en el archivo. Tabla 1 describe los parámetros.
Por ejemplo:
export OS_IDENTITY_API_VERSION=3
export OS_AUTH_TYPE=v3samlpassword
export OS_AUTH_URL=https://iam.eu-de.otc.t-systems.com:443/v3
export OS_AUTH_URL=https://example:443/v3
export OS_IDENTITY_PROVIDER=idpid
export OS_PROTOCOL=saml
export OS_IDENTITY_PROVIDER_URL=https://idp.example.com/idp/profile/SAML2/SOAP/ECP
export OS_USERNAME=username
export OS_PASSWORD=userpassword
export OS_DOMAIN_NAME=example-domain-name
Tabla 1 Descripción del parámetro Parámetro
Descripción
OS_IDENTITY_API_VERSION
Versión de la API de autenticación. El valor se fija en 3.
OS_AUTH_TYPE
Tipo de autenticación. El valor se fija en v3samlpassword.
OS_AUTH_URL
URL de autenticación. El formato de valor es de https://IAM _address:Port_number/API_version.
- Port_number se fija en 443.
- API_version se fija en v3.
OS_IDENTITY_PROVIDER
Nombre de un proveedor de identidad creado en la plataforma en la nube. Por ejemplo: Publiccloud-Shibboleth.
OS_DOMAIN_NAME
Nombre de la cuenta que se va a autenticar
OS_PROTOCOL
Versión del protocolo SAML. El valor se fija en saml.
OS_IDENTITY_PROVIDER_URL
URL del proveedor de identidad utilizado para manejar las solicitudes de autenticación iniciadas por ECP
OS_USERNAME
Nombre de un usuario autenticado mediante el proveedor de identidad
OS_PASSWORD
Contraseña del usuario
- Ejecute el siguiente comando para establecer variables de entorno:
source keystonerc
- Ejecute el siguiente comando para obtener un token:
openstack token issue
>>openstack token issue command: token issue -> openstackclient.identity.v3.token.IssueToken (auth=True) Using auth plugin: v3samlpassword +----------------------------------------------------------------------------------------------------------- | Field | Value | expires | 2018-04-16T03:46:51+0000 | id | MIIDbQYJKoZIhvcNAQcCoIIDXjXXX... | user_id | 9B7CJy5ME14f0fQKhb6HJVQdpXXX...
En la salida del comando, id es el token de autenticación federado obtenido.
Cliente de Shibboleth ECP
- Configure los archivos metadata-providers.xml en Shibboleth IdP v3 y colóquelos en la ruta correspondiente.
<MetadataProvider id="LocalMetadata1"xsi:type="FilesystemMetadataProvider" metadataFile="C:\Program Files (x86)\Shibboleth\IdP\metadata\web_metadata.xml"/> <MetadataProvider id="LocalMetadata2"xsi:type="FilesystemMetadataProvider" metadataFile="C:\Program Files (x86)\Shibboleth\IdP\metadata\api_metadata.xml"/>
- MetadataProvider id indica el nombre del archivo de metadatos descargado del sistema SP.
- metadataFile indica la ruta para almacenar el archivo de metadatos del sistema SP en el sistema IdP.
- Configure el archivo attribute-filter.xml en Shibboleth IdP v3.
<afp:AttributeFilterPolicy id="example1"> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://auth.example.com/" /> <afp:AttributeRule attributeID="eduPersonPrincipalName"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> <afp:AttributeRule attributeID="uid"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> <afp:AttributeRule attributeID="mail"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy> <afp:AttributeFilterPolicy id="example2"> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://iam.{region_id}.example.com" /> <afp:AttributeRule attributeID="eduPersonPrincipalName"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> <afp:AttributeRule attributeID="uid"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> <afp:AttributeRule attributeID="mail"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy>
AttributeFilterPolicy id indica el nombre del archivo de metadatos descargado del sistema SP.
value indica el EntityID en el archivo de metadatos del sistema SP.
- Configure el punto final del sistema IdP en el script ecp.py.
# mapping from user friendly names or tags to IdP ECP enpoints IDP_ENDPOINTS = { "idp1": "https://idp.example.com/idp/profile/SAML2/SOAP/ECP" }
- Ejecute el script ecp.py para obtener un token de autenticación federado.
>>python ecp.py Usage: ecp.py [options] IdP_tag target_url login >>python ecp.py -d idp1 https://iam.{region_id}.example.com/v3/OS-FEDERATION/identity_providers/idp_example/protocols/saml/auth {username} X-Subject-Token: MIIDbQYJKoZIhvcNAQcCoIIDXXX...
X-Subject-Token es el token de autenticación federado obtenido.