Paso 1: Crear una entidad IdP
Para establecer una relación de confianza entre un IdP empresarial y Huawei Cloud, cargue el archivo de metadatos de Huawei Cloud al IdP empresarial, y, a continuación, cree una entidad IdP y cargue el archivo de metadatos del IdP empresarial en la consola IAM.
Prerrequisitos
Ha leído la documentación del IdP de empresa o ha entendido cómo utilizar el IdP de empresa. Las configuraciones de diferentes IdPs empresariales difieren mucho, por lo que no se describen en este documento. Para obtener detalles sobre cómo obtener el archivo de metadatos del IdP empresarial y cómo cargar el archivo de metadatos de Huawei Cloud al IdP empresarial, consulte la documentación de ayuda del IdP.
Establecer una relación de confianza entre el IdP empresarial y Huawei Cloud
El archivo de metadatos de Huawei Cloud debe configurarse en el IdP empresarial para establecer una relación de confianza entre los dos sistemas.
- Descargue el archivo de metadatos de Huawei Cloud.
Visite https://auth-intl.huaweicloud.com/authui/saml/metadata.xml (Se recomienda Google Chrome). Descargue el archivo de metadatos de Huawei Cloud y establezca el nombre del archivo, por ejemplo, SP-metadata.xml.
- Cargue el archivo de metadatos al servidor IdP empresarial. Para obtener más información, consulte la documentación de ayuda del IdP empresarial.
- Obtenga el archivo de metadatos del IdP de empresa. Para obtener más información, consulte la documentación de ayuda del IdP empresarial.
Creación de una entidad IdP en Huawei Cloud
Para crear una entidad IdP en la consola IAM, haga lo siguiente:
- Inicie sesión en la consola de IAM, elija Identity Providers en el panel de navegación y haga clic en Create Identity Provider en la esquina superior derecha.
- Especifique el nombre, el protocolo, el tipo de inicio de sesión único, el estado y la descripción de la entidad IdP.
Tabla 1 Parámetros básicos de un IdP Parámetro
Descripción
Name
Nombre IdP, que debe ser único a nivel mundial. Se recomienda utilizar el nombre de dominio.
Protocol
Protocolo IdP. Huawei Cloud es compatible con los protocolos SAML y OpenID Connect. Para obtener más información sobre la federación de identidades basada en OpenID Connect, consulte SSO de usuario virtual a través de OpenID Connect.
SSO Type
Tipo de IdP. Una cuenta solo puede tener un tipo de IdP. A continuación se describe el tipo de usuario virtual.
SSO de usuario virtual: después de que un usuario federado inicie sesión en Huawei Cloud, el sistema crea automáticamente un usuario virtual para el usuario federado. Una cuenta puede tener varias IdPs del tipo de usuario virtual.
Status
Estado de IdP. El valor predeterminado es Enabled.
- Haga clic en OK.
Configuración del archivo de metadatos del IdP empresarial en Huawei Cloud
Para configurar el archivo de metadatos del IdP empresarial en Huawei Cloud, puede cargar el archivo de metadatos o editar manualmente los metadatos en la consola de IAM. Para un archivo de metadatos de más de 500 KB, configure manualmente los metadatos. Si se han cambiado los metadatos, cargue el último archivo de metadatos o edite los metadatos existentes para garantizar que los usuarios federados puedan iniciar sesión en Huawei Cloud con éxito.
Para obtener más información sobre cómo obtener el archivo de metadatos de un IdP de empresa, consulte la documentación de ayuda del IdP de empresa.
- Cargar un archivo de metadatos.
- Haga clic en Modify en la fila que contiene el IdP.
- Haga clic en Select File y seleccione el archivo de metadatos del IdP de empresa.
Figura 1 Carga de un archivo de metadatos
- Haga clic en Upload. Se muestran los metadatos extraídos del archivo cargado. Haga clic en OK.
- Si el archivo de metadatos cargado contiene varios IdP, seleccione el IdP que desea usar en la lista desplegable Entity ID.
- Si aparece un mensaje que indica que no se ha especificado ningún ID de entidad o que el certificado de firma ha caducado, compruebe el archivo de metadatos y cárguelo de nuevo o configure los metadatos manualmente.
- Haga clic en OK.
- Configurar manualmente los metadatos.
- Haga clic en Manually configure.
Figura 2 Configuración manual de metadatos
- En el cuadro de diálogo Configure Metadata, establezca los parámetros de metadatos, como Entity ID, Signing Certificate y SingleSignOnService.
Parámetro
Obligatorio
Descripción
Entity ID
Sí
El identificador único de un IdP. Introduzca el valor del entityID que se muestra en el archivo de metadatos del IdP de empresa.
Si el archivo de metadatos contiene varios IdP, elija la que desee usar.
Protocol
Sí
Protocolo utilizado para la federación de identidades entre un IdP de empresa y un SP.
El protocolo está seleccionado de forma predeterminada.
NameIdFormat
No
Introduzca el valor de NameIdFormat que se muestra en el archivo de metadatos IdP.
Especifica el formato de identificador de nombre de usuario soportado por el IdP, que se utiliza para la comunicación entre el IdP y el usuario federado.
Si configura varios valores, Huawei Cloud utiliza el primer valor de forma predeterminada.
Signing Certificate
Sí
Introduzca el valor de <X509Certificate> que se muestra en el archivo de metadatos IdP.
Un certificado de firma es un certificado de clave pública utilizado para la verificación de firma. Por motivos de seguridad, introduzca una clave pública que contenga al menos 2,048 bits. El certificado de firma se utiliza durante la federación de identidad para garantizar que las afirmaciones sean creíbles y completas.
Si configura varios valores, Huawei Cloud utiliza el primer valor de forma predeterminada.
SingleSignOnService
Sí
Introduzca el valor de SingleSignOnService que se muestra en el archivo de metadatos IdP.
Este parámetro define cómo se envían las solicitudes SAML durante el inicio de sesión único. Debe ser compatible con HTTP Redirect o HTTP POST.
Si configura varios valores, Huawei Cloud utiliza el primer valor de forma predeterminada.
SingleLogoutService
No
Introduzca el valor de SingleLogoutService que se muestra en el archivo de metadatos IdP.
Este parámetro indica la dirección a la que los usuarios federados serán redirigidos después de cerrar sus sesiones. Debe ser compatible con HTTP Redirect o HTTP POST.
Si configura varios valores, Huawei Cloud utiliza el primer valor de forma predeterminada.
En el ejemplo siguiente se muestra el archivo de metadatos de un IdP de empresa y los metadatos configurados manualmente.
Figura 3 Archivo de metadatos de un IdP de empresa
Figura 4 Configuración manual de metadatos
- Haga clic en OK.
- Haga clic en Manually configure.
Operaciones relacionadas
- Consulta de información de IdP: En la lista IdP, haga clic en View en la fila que contiene el IdP y vea su información básica, configuración de metadatos y reglas de conversión de identidad.
Para modificar la configuración de un IdP, haga clic en Modify en la parte inferior de la página de detalles.
- Modificación de un IdP: En la lista IdP, haga clic en Modify en la fila que contiene el IdP y, a continuación, cambie su estado o modifique la descripción, metadatos o reglas de conversión de identidad.
- Eliminación de un IdP: En la lista IdP, haga clic en Delete en la fila que contiene el IdP y haga clic en Yes en el cuadro de diálogo mostrado.
Acciones posteriores
- Configurar el IdP empresarial: Configure los parámetros del IdP empresarial para determinar qué información se puede enviar a Huawei Cloud.
- Configurar reglas de conversión de identidad: en el área Identity Conversion Rules, configure reglas de conversión de identidad para establecer una asignación entre usuarios de empresa y grupos de usuarios de IAM. De esta manera, los usuarios empresariales pueden obtener los permisos correspondientes en Huawei Cloud. Para obtener más información, véase Paso 3: Configurar reglas de conversión de identidad.
- Verificar el inicio de sesión federado: Compruebe si el usuario empresarial puede iniciar sesión en Huawei Cloud a través de SSO. Para obtener más información, véase Paso 4: Verificar el inicio de sesión federado.
