Autenticación federada para cuentas de empresa
Escenario
Las empresas con múltiples cuentas en la nube pública pueden acceder a los recursos de estas cuentas a través de su propio sistema IdP. Para lograr este propósito, pueden invocar a las API para configurar la autenticación de identidad federada.
Esta sección describe cómo implementar la autenticación federada automática invocando a las API.
Prerrequisitos
Solo los administradores pueden realizar las operaciones de registro e importación descritas en esta sección. Asegúrese de que se le ha asignado el rol Security Administrator.
Procedimiento general
Realice los siguientes pasos para configurar la autenticación de identidad federada para varias cuentas en la nube:
- Registrar un proveedor de identidad.
- Registrar una asignación.
- Registrar un protocolo.
- Importar un archivo de metadatos.
- Iniciar sesión como usuario federado.
En este ejemplo se usarán las siguientes API:
- Registro de un proveedor de identidad
- Registro de una asignación
- Registro de un protocolo
- Importación de un archivo de metadatos
Paso 1: Registrar un proveedor de identidad
URI: PUT /v3/OS-FEDERATION/identity_providers/{id}
Para obtener más información sobre la API, consulte Creación de un proveedor de identidad.
- Ejemplo de solicitud
PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/{id}
{ "identity_provider":{ "description":"Stores ACME identities.", "enabled":true } }
- Ejemplo de respuesta
{ "identity_provider": { "remote_ids": [], "enabled": true, "id": "ACME", "links": { "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME", "protocols": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME/protocols" }, "description": "Stores ACME identities." } }
Paso 2: Registrar un mapeo
URI: PUT /v3/OS-FEDERATION/mappings/{id}
Para obtener más información sobre la API, consulte Registro de una asignación.
- Ejemplo de solicitud
PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/mappings/{id}
{ "mapping":{ "rules":[ { "local":[ { "user":{ "name":"LocalUser" } }, { "group":{ "name":"LocalGroup" } } ], "remote":[ { "type":"UserName" }, { "not_any_of":[ "Contractor", "Guest" ], "type":"orgPersonType" } ] } ] } }
- Ejemplo de respuesta
{ "mapping":{ "id":"ACME", "links":{ "self":"https://iam.myhuaweicloud.com/v3/OS-FEDERATION/mappings/ACME" }, "rules":[ { "local":[ { "user":{ "name":"LocalUser" } }, { "group":{ "name":"LocalGroup" } } ], "remote":[ { "type":"UserName" }, { "not_any_of":[ "Contractor", "Guest" ], "type":"orgPersonType" } ] } ] } }
Paso 3: Registrar un protocolo
URI: PUT /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}
Para obtener más información sobre la API, consulte Registro de un protocolo.
- Ejemplo de solicitud
PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}
{ "protocol":{ "mapping_id":"ACME" } }
- Ejemplo de respuesta
{ "protocol":{ "id":"saml", "links":{ "identity_provider":"https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME", "self":"https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME/protocols/saml" }, "mapping_id":"ACME" } }
Paso 4: Importar un archivo de metadatos
URI: POST /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata
Para obtener más información sobre la API, consulte Importación de un archivo de metadatos.
- Ejemplo de solicitud
POST https://iam.myhuaweicloud.com/v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata
{ "domain_id":"d78cbac186b744899480f25bd022....", "metadata":"$metadataContent", "xaccount_type":"" }
- Ejemplo de respuesta
{ "message":"Import metadata successful" }
Paso 5: Iniciar sesión como usuario federado
Configurar la autenticación federada. Para obtener más información, consulte Proveedores de identidad.