Autenticación federada para cuentas de empresa
Caso
Las empresas con múltiples cuentas en la nube pública pueden acceder a los recursos de estas cuentas a través de su propio sistema IdP. Para lograr este propósito, pueden llamar a las API para configurar la autenticación de identidad federada.
Esta sección describe cómo implementar la autenticación federada automática llamando a las API.
Prerrequisitos
Solo los administrators pueden realizar las operaciones de registro e importación descritas en esta sección. Asegúrese de que se le ha asignado el role de Security Administrator.
Procedimiento general
Realice los siguientes pasos para configurar la autenticación de identidad federada para varias cuentas en la nube:
- Registre un proveedor de identidad.
- Registre una asignación.
- Registre un protocolo.
- Importe un archivo de metadatos.
- Inicie sesión como usuario federado.
En este ejemplo se usarán las siguientes API:
- Registro de un proveedor de identidad
- Registro de una asignación
- Registro de un protocolo
- Importación de un archivo de metadatos
Paso 1: Registrar un proveedor de identidad
URI: PUT /v3/OS-FEDERATION/identity_providers/{id}
Para obtener más información sobre la API, consulte Creación de un proveedor de identidad.
- Ejemplo de la solicitud
PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/{id}
{ "identity_provider":{ "description":"Stores ACME identities.", "enabled":true } }
- Ejemplo de la respuesta
{ "identity_provider": { "remote_ids": [], "enabled": true, "id": "ACME", "links": { "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME", "protocols": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME/protocols" }, "description": "Stores ACME identities." } }
Paso 2: Registrar un mapeo
URI: PUT /v3/OS-FEDERATION/mappings/{id}
Para obtener más información sobre la API, consulte Registro de una asignación.
- Ejemplo de la solicitud
PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/mappings/{id}
{ "mapping":{ "rules":[ { "local":[ { "user":{ "name":"LocalUser" } }, { "group":{ "name":"LocalGroup" } } ], "remote":[ { "type":"UserName" }, { "not_any_of":[ "Contractor", "Guest" ], "type":"orgPersonType" } ] } ] } }
- Ejemplo de la respuesta
{ "mapping":{ "id":"ACME", "links":{ "self":"https://iam.myhuaweicloud.com/v3/OS-FEDERATION/mappings/ACME" }, "rules":[ { "local":[ { "user":{ "name":"LocalUser" } }, { "group":{ "name":"LocalGroup" } } ], "remote":[ { "type":"UserName" }, { "not_any_of":[ "Contractor", "Guest" ], "type":"orgPersonType" } ] } ] } }
Paso 3: Registrar un protocolo
URI: PUT /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}
Para obtener más información sobre la API, consulte Registro de un protocolo.
- Ejemplo de la solicitud
PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}
{ "protocol":{ "mapping_id":"ACME" } }
- Ejemplo de la respuesta
{ "protocol":{ "id":"saml", "links":{ "identity_provider":"https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME", "self":"https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME/protocols/saml" }, "mapping_id":"ACME" } }
Paso 4: Importar un archivo de metadatos
URI: POST /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata
Para obtener más información sobre la API, consulte Importación de un archivo de metadatos.
- Ejemplo de la solicitud
POST https://iam.myhuaweicloud.com/v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata
{ "domain_id":"d78cbac186b744899480f25bd022....", "metadata":"$metadataContent", "xaccount_type":"" }
- Ejemplo de la respuesta
{ "message":"Import metadata successful" }
Paso 5: Inicie sesión como usuario federado
Después de completar la autenticación federada, inicie sesión como usuario federado siguiendo las instrucciones proporcionadas en Identity Providers.