Descripción general del inicio de sesión único del usuario virtual a través de SAML
Huawei Cloud admite la federación de identidades con SAML (Security Assertion Markup Language), que es un estándar abierto que utilizan muchos proveedores de identidades (IdP). Durante la federación de identidades, Huawei Cloud funciona como un proveedor de servicios (SP) y las empresas funcionan como IdPs. Esta sección describe cómo configurar la federación de identidades y cómo funciona la federación de identidades.
Asegúrese de que su IdP empresarial sea compatible con SAML 2.0.
Configuración de la federación de identidades
A continuación se describe cómo configurar su IdP empresarial y Huawei Cloud para que confíen entre sí.
- Crear una entidad IdP y establecer una relación de confianza: Cree una entidad IdP para su empresa en Huawei Cloud. A continuación, cargue el archivo de metadatos de Huawei Cloud en el IdP empresarial y cargue el archivo de metadatos del IdP empresarial en Huawei Cloud.
Figura 2 Intercambio de archivos de metadatos
- Configurar el IdP empresarial: Configure los parámetros del IdP empresarial para determinar qué información se puede enviar a Huawei Cloud.
- Configurar reglas de conversión de identidad: Configure reglas de conversión de identidad para determinar las identidades de usuario IdP y los permisos en Huawei Cloud.
Figura 3 Asignación de identidades externas a usuarios virtuales
- Verificar el inicio de sesión federado: Compruebe si el usuario empresarial puede iniciar sesión en Huawei Cloud a través de SSO.
- (Opcional) Configurar una entrada de inicio de sesión federada: Configure el enlace de inicio de sesión (consulte Figura 4) en el IdP empresarial para permitir que los usuarios empresariales sean redirigidos a Huawei Cloud desde su sistema de gestión empresarial.
Cómo funciona la federación de identidades
Figura 5 muestra el proceso de federación de identidades entre un sistema de gestión empresarial y Huawei Cloud.
Para ver las solicitudes y afirmaciones interactivas con una mejor experiencia, se recomienda utilizar Google Chrome e instalar SAML Message Decoder.
Como se muestra en Figura 5, el proceso de federación de identidad es el siguiente:
- Un usuario abre el enlace de inicio de sesión generado después de la creación del IdP en el navegador. El navegador envía una solicitud de inicio de sesión único a Huawei Cloud.
- Huawei Cloud autentica al usuario contra el archivo de metadatos del IdP empresarial y crea una solicitud SAML al navegador.
- El navegador reenvía la solicitud SAML al IdP de empresa.
- El usuario introduce su nombre de usuario y contraseña en la página de inicio de sesión. Después de que el IdP de empresa autentica la identidad del usuario, construye una aserción SAML que contiene los detalles del usuario y envía la aserción al navegador como una respuesta SAML.
- El navegador responde y reenvía la respuesta SAML a Huawei Cloud.
- Huawei Cloud analiza la afirmación en la respuesta SAML, identifica el grupo de usuarios de IAM que se asigna al usuario según las reglas de conversión de identidad y emite un token al usuario.
- El inicio de sesión SSO se realiza correctamente.
La aserción debe llevar una firma; de lo contrario, el inicio de sesión fallará.