Paso 2: Configurar reglas de conversión de identidad
Los usuarios federados reciben el nombre de FederationUser de forma predeterminada en Huawei Cloud. Estos usuarios solo pueden iniciar sesión en Huawei Cloud y no tienen ningún otro permiso. Puede configurar reglas de conversión de identidad en la consola de IAM para lograr lo siguiente:
- Mostrar usuarios empresariales con diferentes nombres en Huawei Cloud.
- Asigne permisos a los usuarios empresariales para usar recursos de Huawei Cloud asignando estos usuarios a grupos de usuarios de IAM. Asegurarse de que ha creado los grupos de usuarios necesarios. Para obtener más información, véase Creación de un grupo de usuarios y asignación de permisos.
- Las modificaciones a las reglas de conversión de identidad solo tendrán efecto después de que los usuarios federados vuelvan a iniciar sesión.
- Para modificar los permisos de un usuario, modifique los permisos del grupo de usuarios al que pertenece el usuario. A continuación, reinicie el IdP de empresa para que las modificaciones surtan efecto.
Prerrequisitos
Se ha creado una entidad IdP y se puede acceder al enlace de inicio de sesión del IdP. (Para obtener más información sobre cómo crear y verificar una entidad IdP, consulte Paso 1: Crear una entidad IdP.)
Procedimiento
Si configura reglas de conversión de identidad haciendo clic en Create Rule, IAM convierte los parámetros de regla al formato JSON. Alternativamente, puede hacer clic en Edit Rule para configurar reglas en formato JSON. Para obtener más información, véase Sintaxis de las reglas de conversión de identidad.
- Creación de reglas
- Inicie sesión en la consola de IAM como administrador. En el panel de navegación, elija Identity Providers.
- En la lista IdP, haga clic en Modify en la fila que contiene el IdP.
- En el área Identity Conversion Rules, haga clic en Create Rule. A continuación, configure las reglas en el cuadro de diálogo Create Rule.
Figura 1 Creación de reglas
Figura 2 Configuración de parámetros
Tabla 1 Descripción del parámetro Parámetro
Descripción
Observaciones
Username
Nombre de usuario de los usuarios federados en Huawei Cloud.
Para distinguir a los usuarios federados de los usuarios de Huawei Cloud, se recomienda que establezca el nombre de usuario en FederationUser-IdP_XXX. IdP indica un nombre de IdP, por ejemplo, AD FS o Shibboleth. XXX indica un nombre personalizado.
AVISO:- El nombre de usuario de cada usuario federado debe ser único en el mismo IdP. Los usuarios federados con los mismos nombres de usuario en el mismo IdP se asignarán al mismo usuario IAM en Huawei Cloud.
- El nombre de usuario solo puede contener letras, dígitos, espacios, guiones (-) guiones bajos (_) y puntos (.). No puede comenzar con un dígito y no puede contener el siguiente characters: ", \", \\, \n, \r
User Groups
Grupos de usuarios a los que pertenecen los usuarios federados en Huawei Cloud.
Los usuarios federados heredarán permisos de sus grupos de usuarios. Puede seleccionar un grupo de usuarios que ya se haya creado.
Rule Conditions
Condiciones que debe cumplir un usuario federado para obtener permisos de los grupos de usuarios seleccionados.
Los usuarios federados que no cumplan estas condiciones no pueden acceder a Huawei Cloud. Puede crear un máximo de 10 condiciones para una regla de conversión de identidad.
NOTA:- Una regla de conversión de identidad puede tener varias condiciones. Solo tiene efecto si se cumplen todas las condiciones.
- Un IdP puede tener varias reglas de conversión de identidad. Si un usuario federado no cumple con ninguna de las condiciones, se le denegará el acceso a Huawei Cloud.
Por ejemplo, establezca una regla de conversión de identidad para los administradores del sistema de gestión empresarial.
- Nombre de usuario: FederationUser-IdP_admin
- Grupo de usuarios: admin
- Condición de regla: _NAMEID_ (atributo), any_one_of (condición) y 000000001 (valor).
Solo el usuario con ID 000000001 se asigna al usuario de IAM FederationUser-IdP_admin y hereda los permisos del grupo de usuarios admin.
- En el cuadro de diálogo Create Rule, haga clic en OK.
- En la página Modify Identity Provider, haga clic en OK.
- Edición de reglas
- Inicie sesión en la consola de IAM como administrador. En el panel de navegación, elija Identity Providers.
- En la lista IdP, haga clic en Modify en la fila que contiene el IdP.
- En el área Identity Conversion Rules, haga clic en Edit Rule.
- Edite las reglas de conversión de identidad en formato JSON. Para obtener más información, véase Sintaxis de las reglas de conversión de identidad.
- Haga clic en Validate para verificar la sintaxis de las reglas.
- Si la regla es correcta, haga clic en OK en el cuadro de diálogo Edit Rule y haga clic en OK en la página Modify Identity Provider.
Si aparece un mensaje que indica que el archivo JSON está incompleto, modifique las instrucciones o haga clic en Cancel para cancelar las modificaciones.
Verificación de permisos de usuario federados
Después de configurar las reglas de conversión de identidad, compruebe los permisos de los usuarios federados.
- Inicie sesión como usuario federado.
En la página Identity Providers de la consola de IAM, haga clic en View en la fila que contiene el IdP. Haga clic en
para copiar el vínculo de inicio de sesión que se muestra en el área Basic Information y abra el vínculo con un explorador y, a continuación, introduzca el nombre de usuario y la contraseña utilizados en el sistema de gestión empresarial. - Compruebe que el usuario federado tiene los permisos asignados a su grupo de usuarios.
Por ejemplo, configure una regla de conversión de identidad para asignar el usuario federado ID1 al grupo de usuarios admin para que ID1 tenga permisos completos para todos los servicios en la nube. En la consola de gestión, seleccione un servicio en la nube y compruebe si puede acceder al servicio.
Operaciones relacionadas
Ver reglas de conversión de identidad: haga clic en View Rule en la página Modify Identity Provider. Las reglas de conversión de identidad se muestran en formato JSON. Para obtener más información sobre el formato JSON, consulte Sintaxis de reglas de conversión de identidad.
