Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda> Identity and Access Management> Guía del usuario> Proveedores de identidades> Autenticación de identidad federada basada en OpenID Connect> Paso 2: Configurar reglas de conversión de identidad

Actualización más reciente 2023-11-25 GMT+08:00

Ver PDF

Paso 2: Configurar reglas de conversión de identidad

Los usuarios federados reciben el nombre de FederationUser de forma predeterminada en Huawei Cloud. Estos usuarios solo pueden iniciar sesión en Huawei Cloud y no tienen ningún otro permiso. Puede configurar reglas de conversión de identidad en la consola de IAM para lograr lo siguiente:

Mostrar usuarios del sistema de gestión empresarial con diferentes nombres en Huawei Cloud.
Otorgue a los usuarios del sistema de gestión empresarial permisos para usar los recursos de Huawei Cloud asignando estos usuarios a grupos de usuarios de IAM. Asegúrese de que ha creado los grupos de usuarios necesarios. Para obtener más información, consulte Creación de un grupo de usuarios y Asignación de permisos.

Las modificaciones a las reglas de conversión de identidad solo tendrán efecto después de que los usuarios federados inicien sesión de nuevo.
Para modificar los permisos de un usuario, modifique los permisos del grupo de usuarios al que pertenece el usuario. A continuación, reinicie el IdP de empresa para que las modificaciones surtan efecto.

Prerrequisitos

Se ha creado un proveedor de identidad y se puede acceder al enlace de inicio de sesión del proveedor de identidad. (Para obtener más información sobre cómo crear y verificar un proveedor de identidad, consulte Paso 1: Crear un proveedor de identidad.)

Procedimiento

Si configura reglas de conversión de identidad haciendo clic en Create Rule, IAM convierte los parámetros de regla al formato JSON. También puede hacer clic en Edit Rule para configurar reglas en formato JSON. Para más detalles, consulte Sintaxis de las reglas de conversión de identidad.

Creación de una regla

Elija Identity Providers en el panel de navegación.
En la lista de proveedores de identidad, haga clic en Modify en la fila que contiene el proveedor de identidad.

En el área Identity Conversion Rules, haga clic en Create Rule. A continuación, configure la regla en el cuadro de diálogo Create Rule.

Figura 1 Crear regla

Figura 2 Configuración de los parámetros de la regla

**Tabla 1** Descripción del parámetro
Parámetro	Descripción	Comentarios
Username	Nombre de usuario de los usuarios federados que se mostrarán en Huawei Cloud.	Para distinguir a los usuarios federados de los usuarios de Huawei Cloud, se recomienda que establezca el nombre de usuario en "FederationUser-IdP_XXX". IdP indica un nombre de proveedor de identidad, por ejemplo, AD FS y Shibboleth. XXX indica un nombre personalizado. AVISO: Cada nombre de usuario federado debe ser único en el proveedor de identidad. Los nombres de usuario federados idénticos bajo el mismo proveedor de identidad se identificarán como el mismo usuario de IAM en Huawei Cloud. El nombre de usuario solo puede contener letras, dígitos, espacios, guiones (-) guiones bajos (_) y puntos (.). No puede comenzar con un dígito y no puede contener el siguiente characters: ", \", \\, \n, \r
Grupos de usuarios	Grupos de usuarios a los que pertenecerán los usuarios federados en Huawei Cloud.	Los usuarios federados heredarán permisos de los grupos a los que pertenecen. NOTA: El nombre del grupo de usuarios solo puede contener letras, dígitos, espacios, guiones (-) guiones bajos (_) y puntos (.). No puede comenzar con un dígito y no puede contener el siguiente characters: ", \", \\, \n, \r
Condiciones de las reglas	Condiciones que debe cumplir un usuario federado para obtener permisos de los grupos de usuarios seleccionados.	Los usuarios federados que no cumplan estas condiciones no pueden acceder a Huawei Cloud. Puede crear un máximo de 10 condiciones para una regla de conversión de identidad. NOTA: Una regla de conversión de identidad puede tener varias condiciones. Solo tiene efecto si se cumplen todas las condiciones. Un proveedor de identidad puede tener varias reglas de conversión de identidad. Si un usuario federado no cumple con ninguna de las reglas, no se le permitirá acceder a Huawei Cloud.

Por ejemplo, establezca una regla de conversión de identidad para los administradores del sistema de gestión empresarial.

Nombre de usuario: FederationUser-IdP_admin
Grupo de usuarios: admin
Condición de regla: _NAMEID_ (atributo), any_one_of (condición) y 000000001 (valor).
Solo el usuario con ID 000000001 se asigna al usuario de IAM FederationUser-IdP_admin y hereda los permisos del grupo de usuarios admin.

En el cuadro de diálogo Create Rule, haga clic en OK.
En la página Modify Identity Provider, haga clic en OK.

Edición de una regla
1. Inicie sesión en Huawei Cloud como administrador y vaya a la consola de IAM. A continuación, seleccione Identity Providers en el panel de navegación.
2. En la lista de proveedores de identidad, haga clic en Modify en la fila que contiene el proveedor de identidad.
3. En el área Identity Conversion Rules, haga clic en Edit Rule. A continuación, configure la regla en el cuadro de diálogo Edit Rule.
4. Edite la regla de conversión de identidad en el formato JSON. Para más detalles, consulte Sintaxis de las reglas de conversión de identidad.
5. Haga clic en Validate para verificar la sintaxis de la regla.
6. Si la regla es correcta, haga clic en OK en el cuadro de diálogo Edit Rule y haga clic en OK en la página Modify Identity Provider.
  Si aparece un mensaje que indica que el archivo JSON está incompleto, modifique la instrucción o haga clic en Cancel para cancelar las modificaciones.

Verificación de permisos de usuario federados

Después de configurar las reglas de conversión de identidad, compruebe los permisos de los usuarios federados.

Inicie sesión en Huawei Cloud como un usuario federado, como ID1 de usuario.
En la página Identity Providers de la consola de IAM, haga clic en View en la fila que contiene el proveedor de identidad. Copie el enlace de inicio de sesión que se muestra en la página de detalles del proveedor de identidad, abra el enlace con un navegador y, a continuación, introduzca el nombre de usuario y la contraseña utilizados en el sistema de gestión empresarial.
Compruebe que el usuario federado tiene los permisos asignados al grupo de usuarios al que pertenece el usuario.
Por ejemplo, una regla de conversión de identidad tiene permisos completos definidos para todos los servicios en la nube para el ID1 de usuario federado en el grupo de usuarios de admin. En la consola de gestión, seleccione cualquier servicio en la nube y compruebe si puede acceder al servicio.

Operaciones relacionadas

Ver reglas de conversión de identidad: haga clic en View Rule en la página Modify Identity Provider. Las reglas de conversión de identidad se muestran en el formato JSON. Para obtener más información sobre el formato JSON, consulte Sintaxis de reglas de conversión de identidad.

Tema principal: Autenticación de identidad federada basada en OpenID Connect

Tema anterior: Paso 1: Crear un proveedor de identidad

Tema siguiente: (Opcional) Paso 3: Configurar el enlace de inicio de sesión en el sistema de gestión empresarial

Comentarios

¿Le pareció útil esta página?

Sí No

Deje algún comentario

Muchas gracias por sus comentarios. Seguiremos trabajando para mejorar la documentación.

El sistema está ocupado. Vuelva a intentarlo más tarde.

¿Cuáles de los siguientes problemas se presentaron?

Contenido diferente a la de la IU del producto

Descripciones poco claras

Falta de ejemplos o código

Pasos incorrectos

No puedo encontrar lo que necesito

Falta de prácticas recomendadas

Comentarios (opcional)

0/500

Seleccione al menos un tipo de problema e ingrese sus comentarios o sugerencias.

Ingrese 500 caracteres como máximo.

Enviar Cancelar