Paso 1: Crear un proveedor de identidad
Para establecer una relación de confianza entre un IdP empresarial y Huawei Cloud, suba el archivo de metadatos de Huawei Cloud al IdP empresarial y, a continuación, cree un proveedor de identidad y suba el archivo de metadatos del IdP empresarial en la consola IAM.
Prerrequisitos
- Ha registrado una cuenta en Huawei Cloud como administrador empresarial y ha creado grupos de usuarios y les ha concedido permisos en IAM. Para más detalles, consulte Creación de un grupo de usuarios y asignación de permisos. Los grupos de usuarios creados en IAM se utilizarán para asignar permisos a los usuarios IdP empresariales asignados a Huawei Cloud.
- Ha leído la documentación del IdP de empresa o ha entendido cómo utilizar el IdP de empresa. Las configuraciones de diferentes IdPs empresariales difieren mucho, por lo que no se describen en este documento. Para obtener detalles sobre cómo obtener el archivo de metadatos del IdP empresarial y cómo cargar los metadatos de Huawei Cloud al IdP empresarial, consulte la documentación del IdP.
Establecer una relación de confianza entre el IdP empresarial y Huawei Cloud
El archivo de metadatos de Huawei Cloud debe configurarse en el IdP empresarial para establecer una relación de confianza entre los dos sistemas.
- Descargue el archivo de metadatos de Huawei Cloud.
Visite https://auth.huaweicloud.com/authui/saml/metadata.xml (Google Chrome is recommended). Descargue el archivo de metadatos de Huawei Cloud y establezca el nombre del archivo, por ejemplo, SP-metadata.xml.
- Cargue el archivo de metadatos al servidor IdP empresarial. Para obtener más información sobre cómo cargar el archivo de metadatos, consulte la documentación de su IdP de empresa.
- Obtenga el archivo de metadatos del IdP de empresa. Para obtener más información sobre cómo obtener el archivo de metadatos, consulte la documentación de su IdP de empresa.
Creación de un proveedor de identidades en Huawei Cloud
Cree un proveedor de identidad y configure el archivo de metadatos en IAM.
- Inicie sesión en la consola de IAM, seleccione Identity Providers en el panel de navegación y haga clic en Create Identity Provider en la esquina superior derecha.
- Especifique el nombre, el protocolo, el tipo de SSO, el estado y la descripción del proveedor de identidad.
Tabla 1 Parámetros básicos de un proveedor de identidad Parámetro
Descripción
Name
Nombre del proveedor de identidad. El nombre del proveedor de identidad debe ser único en su cuenta.
Protocol
Protocolo de proveedor de identidad. Huawei Cloud es compatible con los proveedores de identidad SAML y OpenID Connect. Para obtener detalles acerca de cómo configurar la autenticación de identidad federada basada en OpenID Connect, consulte Autenticación de identidad federada basada en OpenID Connect.
SSO Type
Tipo de proveedor de identidad. Solo se puede crear un tipo de proveedor de identidad de inicio de sesión único (SSO) bajo una cuenta.
- Virtual user: Después de que un usuario inicie sesión en Huawei Cloud a través de un proveedor de identidad, el sistema crea automáticamente una identidad virtual para el usuario. Se pueden crear varios proveedores de identidad del tipo SSO de usuario virtual bajo una cuenta.
- IAM user: Después de que un usuario inicia sesión en Huawei Cloud a través de un proveedor de identidad, el sistema asigna al usuario a un usuario de IAM basándose en las reglas de conversión de identidad configuradas. Solo se puede crear un proveedor de identidad del tipo SSO de usuario de IAM en una cuenta. Si selecciona este tipo, asegúrese de que ha creado un usuario IAM y defina el ID de identidad externo. Para más detalles, consulte Creación de un usuario de IAM.
Status
Estado del proveedor de identidad. El valor predeterminado es Enabled.
- Haga clic en OK.
Configuración del archivo de metadatos del proveedor de identidades
Configurar el archivo de metadatos del IdP empresarial en Huawei Cloud. Puede cargar o editar manualmente configuraciones de metadatos en IAM. Para un archivo de metadatos de más de 500 KB, configure manualmente los metadatos. Si los metadatos han cambiado, cargue el último archivo de metadatos o edite los metadatos existentes para garantizar que los usuarios federados puedan iniciar sesión en Huawei Cloud correctamente.
Para obtener más información sobre cómo obtener el archivo de metadatos, consulte la documentación del IdP de empresa.
- Cargar un archivo de metadatos.
- Haga clic en Modify en la fila que contiene el proveedor de identidad.
- Haga clic en Select File y seleccione el archivo de metadatos que ha obtenido.
Figura 1 Carga de un archivo de metadatos
- Haga clic en Upload. Se muestran los metadatos extraídos del archivo cargado. Haga clic en OK.
- Si el archivo de metadatos cargado contiene varios proveedores de identidad, seleccione el proveedor de identidad que desea usar en la lista desplegable de Entity ID.
- Si aparece un mensaje que indica que no se ha especificado ningún ID de entidad o que el certificado de firma ha caducado, compruebe el archivo de metadatos y cárguelo de nuevo o configure los metadatos manualmente.
- Haga clic en OK.
- Configurar manualmente los metadatos.
- Haga clic en Manually configure.
Figura 2 Configuración manual de metadatos
- En el cuadro de diálogo Configure Metadata, establezca los parámetros de metadatos, como el ID de entidad, el certificado de firma y el SingleSignOnService.
Parámetro
Obligatorio
Descripción
Entity ID
Sí
Identificador único de un proveedor de identidad. Introduzca el valor del entityID que se muestra en el archivo de metadatos del IdP de empresa.
Si el archivo de metadatos contiene varios proveedores de identidad, elija el que desee usar.
Protocol
Sí
El protocolo SAML se utiliza para la autenticación de identidad federada entre un IdP de empresa y un SP.
El sistema genera automáticamente un valor después de seleccionar el protocolo.
NameIdFormat
No
Introduzca el valor de NameIdFormat que se muestra en el archivo de metadatos.
Este parámetro indica el nombre de usuario y el formato de ID utilizados para la comunicación entre el proveedor de identidad y los usuarios federados.
Si configura varios valores, Huawei Cloud utiliza el primer valor de forma predeterminada.
Signing Certificate
Sí
Introduzca el valor de <X509Certificate> que se muestra en el archivo de metadatos.
Un certificado de firma es un certificado de clave pública utilizado para la verificación de firma. Por motivos de seguridad, introduzca una clave pública que contenga no menos de 2048 bits. El certificado de firma se utiliza durante la autenticación de identidad federada para garantizar que las aserciones sean creíbles y completas.
Si configura varios valores, Huawei Cloud utiliza el primer valor de forma predeterminada.
SingleSignOnService
Sí
Introduzca el valor de SingleSignOnService que se muestra en el archivo de metadatos.
Este parámetro define cómo se envían las solicitudes SAML durante el proceso SSO. El parámetro SingleSignOnService del archivo de metadatos debe admitir redirección HTTP o POST HTTP.
Si configura varios valores, Huawei Cloud utiliza el primer valor de forma predeterminada.
SingleLogoutService
No
Introduzca el valor de SingleLogoutService que se muestra en el archivo de metadatos.
Este parámetro indica la dirección a la que los usuarios federados serán redirigidos después de cerrar sus sesiones. El parámetro SingleLogoutService del archivo de metadatos debe admitir redirección HTTP o HTTP POST.
Si configura varios valores, Huawei Cloud utiliza el primer valor de forma predeterminada.
En el ejemplo siguiente se muestra el archivo de metadatos de un IdP de empresa y la información de metadatos que debe completarse durante la configuración manual.
Figura 3 Archivo de metadatos de un IdP de empresa
Figura 4 Configuración manual de metadatos
- Haga clic en OK.
- Haga clic en Manually configure.
Inicio de sesión como usuario federado
- Haga clic en el enlace de inicio de sesión que se muestra en la página de detalles del proveedor de identidad y compruebe si se muestra la página de inicio de sesión del servidor IdP empresarial.
- En la página Identity Providers, haga clic en View (consulte Figura 5) en la columna Operation del proveedor de identidades). Copie el enlace de inicio de sesión (consulte Figura 6) que se muestra en la página de detalles del proveedor de identidad y visite el enlace usando un navegador.
- Si no se muestra la página de inicio de sesión, compruebe el archivo de metadatos y las configuraciones del servidor IdP empresarial.
- Introduzca el nombre de usuario y la contraseña de un usuario que se creó en el IdP de empresa.
- Si el inicio de sesión se realiza correctamente, agregue el enlace de inicio de sesión al sistema de gestión empresarial.
- Si el inicio de sesión falla, compruebe el nombre de usuario y la contraseña.
Los usuarios federados solo tienen permisos de lectura para Huawei Cloud de forma predeterminada. Para asignar permisos a usuarios federados, configure reglas de conversión de identidad para el proveedor de identidades. Para obtener más información, consulte Paso 2: Configurar reglas de conversión de identidad.
Operaciones relacionadas
- Consulta de la información del proveedor de identidad: en la lista del proveedor de identidad, haga clic en View en la fila que contiene el proveedor de identidad y vea su información básica, metadatos y reglas de conversión de identidad.
Para modificar las configuraciones de un proveedor de identidad, haga clic en Modify en la parte inferior de la página de detalles.
- Modificación de un proveedor de identidad: en la lista de proveedores de identidad, haga clic en Modify en la fila que contiene el proveedor de identidad y, a continuación, cambie su estado o modifique la descripción, los metadatos o las reglas de conversión de identidad.
- Eliminar un proveedor de identidad: En la lista de proveedores de identidad, haga clic en Delete en la fila que contiene el proveedor de identidad y haga clic en Yes.
Procedimiento posterior
- En el área Identity Conversion Rules, configure las reglas de conversión de identidad para asignar usuarios del sistema de gestión empresarial a grupos de usuarios de IAM y conceda permisos a los usuarios. Para más detalles, consulte Paso 2: Configurar reglas de conversión de identidad.
- Configure el sistema de gestión empresarial para permitir a los usuarios acceder a Huawei Cloud a través de SSO. Para más detalles, consulte (Opcional) Paso 3: Configurar el enlace de inicio de sesión en el sistema de gestión empresarial.
