Introducción
Huawei Cloud proporciona federación de identidades basada en lenguaje de marcado de aserción de seguridad (SAML) o OpenID Connect. Esta función permite a los usuarios de su sistema de gestión empresarial acceder a Huawei Cloud a través del inicio de sesión único (SSO).
Conceptos básicos
|
Concepto |
Descripción |
|---|---|
|
Proveedor de identidad (IdP) |
Un IdP recopila y almacena información de identidad del usuario, como nombres de usuario y contraseñas, y autentica a los usuarios durante el inicio de sesión. Para la federación de identidades entre una empresa y Huawei Cloud, el sistema de autenticación de identidad de la empresa es un proveedor de identidad y también se llama "empresa IdP". Las IdPs de terceros más populares incluyen los servicios de Microsoft Active Directory Federation (AD FS) y Shibboleth. |
|
Proveedor de servicios (SP) |
Un proveedor de servicios establece una relación de confianza con un IdP y proporciona servicios basados en la información de usuario proporcionada por el IdP. Para la federación de identidades entre una empresa y Huawei Cloud, Huawei Cloud es un proveedor de servicios. |
|
Federación de identidades |
La federación de identidades es el proceso de establecer una relación de confianza entre un IdP y SP para implementar SSO. |
|
Inicio de sesión único (SSO) |
El inicio de sesión único SSO permite a los usuarios acceder a un SP de confianza después de iniciar sesión en el IdP de la empresa. Por ejemplo, después de establecer una relación de confianza entre un sistema de gestión empresarial y Huawei Cloud, los usuarios en el sistema de gestión empresarial pueden usar sus cuentas y contraseñas existentes para acceder a Huawei Cloud a través del enlace de inicio de sesión en el sistema de gestión empresarial. La nube de Huawei admite dos tipos de SSO: SSO de usuario virtual y SSO de usuario IAM. |
|
SAML 2.0 |
SAML 2.0 es un protocolo basado en XML que utiliza securityTokens que contienen aserciones para pasar información sobre un usuario final entre un IdP y un SP. Es un estándar abierto ratificado por la Organización para el Avance de Estándares de Información Estructurada (OASIS) y está siendo utilizado por muchos IdP. Para obtener más información acerca de este estándar, consulte Descripción técnica de SAML 2.0. Huawei Cloud implementa la federación de identidades de acuerdo con SAML 2.0. Para federar con éxito a sus usuarios empresariales con Huawei Cloud, asegúrese de que su IdP empresarial sea compatible con este protocolo. |
|
OpenID Connect |
OpenID Connect es una capa de identidad simple en la parte superior del protocolo Open Authorization 2.0 (OAuth 2.0). IAM implementa la federación de identidad de acuerdo con OpenID Connect 1.0. Para federar con éxito a sus usuarios empresariales con Huawei Cloud, asegúrese de que su IdP empresarial sea compatible con este protocolo. Para obtener más información acerca de OpenID Connect, vea Introducción a OpenID Connect. |
|
OAuth 2.0 |
OAuth 2.0 es un protocolo de autorización abierto. El marco de autorización de este protocolo permite que las aplicaciones de terceros obtengan permisos de acceso. |
Ventajas de la Federación de Identidad
- Fácil gestión de identidades
Con un proveedor de identidades, el administrador puede gestionar las identidades de la fuerza laboral fuera de Huawei Cloud y otorgar a estas identidades de fuerza laboral externas permisos para usar los recursos en Huawei Cloud.
- Operaciones simplificadas
Los usuarios de la fuerza laboral pueden usar sus cuentas existentes en la empresa para acceder a Huawei Cloud a través de SSO.
Figura 1 Ventajas de la federación de identidad
Tipo de SSO
IAM admite dos tipos de SSO: SSO de usuario virtual y SSO de usuario de IAM. Para obtener más información sobre cómo elegir un tipo de inicio de sesión único, consulte Escenarios de aplicación de SSO de usuario virtual y SSO de usuario de IAM.
- SSO de usuario virtual
Después de que un usuario federado inicie sesión en Huawei Cloud, el sistema crea automáticamente un usuario virtual y otorga permisos de acceso al usuario virtual basándose en las reglas de conversión de identidad configuradas.
- Inicio de sesión único del usuario de IAM
Después de que un usuario federado inicie sesión en Huawei Cloud, el sistema asigna automáticamente el ID de identidad externo a un usuario de IAM para que el usuario federado tenga los permisos del usuario de IAM asignado.
Actualmente, IAM admite dos métodos de inicio de sesión federados: SSO basado en navegador (SSO web) y SSO a través de invocaciones de API.
- Web SSO: Los navegadores se utilizan como medio de comunicación. Este tipo de autenticación permite a los usuarios comunes acceder a Huawei Cloud mediante navegadores. Puede iniciar el inicio de sesión único web desde el lado del IdP o del SP.
- SSO iniciado por IdP: Configurar un enlace de inicio de sesión en el sistema de gestión empresarial. Los empleados de su empresa pueden usar el enlace para iniciar sesión en Huawei Cloud desde el sistema de gestión empresarial.
- SSO iniciado por SP: Huawei Cloud proporciona la entrada de inicio de sesión del usuario federado. Los empleados de su empresa pueden ingresar una cuenta de Huawei Cloud y elegir el IdP de la empresa en la página de inicio de sesión para acceder a Huawei Cloud.
- SSO vía invocación de API: Los empleados de la empresa invocan a las API usando herramientas de desarrollo (como el cliente OpenStack y el cliente ShibbolethECP) para acceder a Huawei Cloud.
|
Tipo de SSO |
Protocolos admitidos |
Web SSO |
Invocación a las API |
Iniciado por IdP |
Iniciado por SP |
Múltiples IdP |
|---|---|---|---|---|---|---|
|
Usuario virtual |
SAML 2.0 y OpenID Connect |
Admitido |
Admitido |
Admitido |
Admitido |
Admitido |
|
Usuario de IAM |
SAML 2.0 |
Admitido |
Admitido |
Admitido |
Admitido |
No admitido |
Este capítulo describe cómo acceder a Huawei Cloud a través del inicio de sesión SSO web. Para obtener más información sobre cómo acceder a Huawei Cloud invocando a las API, consulta Gestión de federación de identidades.
Precauciones
- Asegúrese de que su servidor IdP empresarial y Huawei Cloud utilizan la hora del meridiano de Greenwich (GMT) en la misma zona horaria.
- La información de identidad (como la dirección de correo electrónico o el número de teléfono móvil) de los usuarios federados se almacena en el IdP de la empresa. Los usuarios federados se asignan a Huawei Cloud como identidades virtuales, por lo que su acceso a Huawei Cloud tiene las siguientes restricciones:
- Los usuarios federados no necesitan realizar una verificación en 2 pasos cuando realizan operaciones críticas aunque protección de operación crítica (protección de inicio de sesión o protección de operación) esté habilitada.
- Los usuarios federados no pueden crear claves de acceso con validez ilimitada, pero pueden obtener credenciales de acceso temporales (claves de acceso y tokens de seguridad) utilizando tokens de usuario o delegación. Para obtener más información, consulte Obtención de una clave de acceso temporal y un token de seguridad a través de un token.
Si un usuario federado necesita una clave de acceso con validez ilimitada, puede ponerse en contacto con el administrador de la cuenta o con un usuario de IAM para crear una. Una clave de acceso contiene los permisos concedidos a un usuario, por lo que se recomienda que el usuario federado solicite a un usuario IAM del mismo grupo que cree una clave de acceso.
