Introducción

Un proveedor de identidad recopila y almacena información de identidad del usuario, como nombres de usuario y contraseñas, y autentica a los usuarios durante el inicio de sesión. Para la autenticación de identidad federada entre una empresa y Huawei Cloud, el sistema de autenticación de identidad de la empresa es un proveedor de identidad y también se denomina "IdP empresarial". Las IdPs de terceros más populares incluyen los servicios de Microsoft Active Directory Federation (AD FS) y Shibboleth.

Un proveedor de servicios establece una relación de confianza entre un IdP y él mismo, y utiliza la información de usuario proporcionada por el IdP para proporcionar servicios. Para la autenticación de identidad federada entre una empresa y Huawei Cloud, Huawei Cloud es un proveedor de servicios.

La autenticación de identidad federada es un proceso en el que se establece una relación de confianza entre un IdP y un SP para implementar un SSO.

El inicio de sesión único es un tipo de acceso que permite a los usuarios acceder a un SP de confianza después de iniciar sesión en el IdP de la empresa. Por ejemplo, después de establecer una relación de confianza entre un sistema de gestión empresarial y Huawei Cloud, los usuarios en el sistema de gestión empresarial pueden usar sus cuentas y contraseñas existentes para acceder a Huawei Cloud a través del enlace de inicio de sesión en el sistema de gestión empresarial.

SAML 2.0 es un protocolo basado en XML que utiliza securityTokens que contienen aserciones para pasar información sobre un usuario final entre un IdP y un SP. Es un estándar abierto ratificado por la Organización para el Avance de Estándares de Información Estructurada (OASIS) y está siendo utilizado por muchos IdPs. For more information about this standard, see SAML 2.0 Technical Overview. Huawei Cloud implementa autenticación de identidad federada de acuerdo con SAML 2.0. Para federar con éxito a los usuarios existentes a Huawei Cloud, asegúrese de que su IdP empresarial sea compatible con este protocolo.

OpenID Connect es una capa de identidad simple en la parte superior del protocolo Open Authorization 2.0 (OAuth 2.0). IAM implementa la autenticación de identidad federada de conformidad con OpenID Connect 1.0. Para federar con éxito a los usuarios existentes a Huawei Cloud, asegúrese de que su IdP empresarial sea compatible con este protocolo. Para obtener más información acerca de OpenID Connect, vea Bienvenido a OpenID Connect.

OAuth 2.0 es un protocolo de autorización abierto. El marco de autorización de este protocolo permite que las aplicaciones de terceros obtengan permisos de acceso.

Como administrador, solo necesita crear usuarios en su sistema de gestión empresarial. Los usuarios pueden usar sus propias cuentas para acceder tanto al sistema de gestión empresarial como Huawei Cloud.

Los usuarios pueden iniciar sesión en Huawei Cloud a través del sistema de gestión empresarial.

Figura 1 Ventajas de la autenticación de identidad federada

• Los usuarios federados no pueden realizar la verificación cuando realizan operaciones críticas. La configuración de protección de operación crítica no se aplica a los usuarios federados.
• Los usuarios federados no pueden crear claves de acceso con validez ilimitada, pero pueden obtener credenciales de acceso temporales (claves de acceso y tokens de seguridad) utilizando tokens de usuario o agencia. Para obtener detalles, consulte Obtención de una clave de acceso temporal y un token de seguridad.

  Si un usuario federado necesita una clave de acceso con validez ilimitada, el usuario puede ponerse en contacto con el administrador de la cuenta o con un usuario de IAM para crear una. Una clave de acceso contiene los permisos concedidos a un usuario, por lo que se recomienda que el usuario federado solicite a un usuario IAM del mismo grupo que cree una clave de acceso.