Paso 1: Crear un proveedor de identidad

Prerrequisitos

• Ha registrado una cuenta en Huawei Cloud como administrador empresarial y ha creado grupos de usuarios y les ha concedido permisos en IAM. Para más detalles, consulte Creación de un grupo de usuarios y asignación de permisos. Los grupos de usuarios creados en IAM se utilizarán para asignar permisos a los usuarios IdP empresariales asignados a Huawei Cloud.
• Ha leído la documentación del IdP de empresa o ha entendido cómo utilizar el IdP de empresa. Las configuraciones de diferentes IdPs empresariales difieren mucho, por lo que no se describen en este documento. Para obtener detalles sobre cómo obtener las credenciales de OAuth 2.0 del IdP empresarial, consulte la documentación del IdP.

Creación de credenciales de OAuth 2.0 en el IdP empresarial

1. Establezca las URL de redirección https://auth.huaweicloud.com/authui/oidc/redirect and https://auth.huaweicloud.com/authui/oidc/post en el IdP empresarial para que los usuarios puedan ser redirigidos al proveedor de identidad OpenID Connect en Huawei Cloud.
2. Obtenga las credenciales de OAuth 2.0 del IdP empresarial.

Creación de un proveedor de identidades en Huawei Cloud

Cree un proveedor de identidad y configure la información de autorización en IAM.

1. Inicie sesión en la consola de IAM, seleccione Identity Providers en el panel de navegación y haga clic en Create Identity Provider en la esquina superior derecha.
2. Enter an identity provider name, select OpenID Connect and Enabled, and click OK.
   

   El nombre del proveedor de identidad debe ser único en su cuenta.

Configuración de la información de autorización en Huawei Cloud

1. Haga clic en Modify en la columna Operation de la fila que contiene el proveedor de identidad que desea modificar.
2. Seleccione un tipo de acceso.

   Tabla 1 Descripción del tipo de acceso

   Tipo de acceso	Descripción
   Programmatic access and management console access	Acceso programático: los usuarios federados pueden usar herramientas de desarrollo (incluidas API, CLI y SDK) que admiten la autenticación clave para acceder a Huawei Cloud. Acceso a la consola de administración: los usuarios federados pueden iniciar sesión en la consola de Huawei Cloud usando sus propios nombres de usuario y contraseñas. Seleccione este tipo de acceso si desea que los usuarios accedan a Huawei Cloud a través de SSO.
   Programmatic access	Los usuarios federados solo pueden usar herramientas de desarrollo (incluidas API, CLI y SDK) que admitan autenticación clave para acceder a Huawei Cloud.

3. Especifique la información de configuración.

   Tabla 2 Información de la configuración

   Parámetro	Descripción
   Identity Provider URL	URL del proveedor de identidad OpenID Connect. Especifique este parámetro como el valor del issuer en la Openid-configuration. NOTA: Openid-configuration indica una dirección URL definida en OpenID Connect, que contiene configuraciones de un IdP de empresa. El formato de URL es de https://{base URL}/.well-known/openid-configuration, donde la base URL es definida por el IdP de la empresa. Por ejemplo, la Openid-configuration de Google es de https://accounts.google.com/.well-known/openid-configuration.
   Client ID	ID de un cliente registrado con el proveedor de identidad de OpenID Connect. El ID de cliente es una credencial de OAuth 2.0 creada en el IdP de empresa.
   Authorization Endpoint	Punto de conexión de autorización del proveedor de identidad de OpenID Connect. Especifique este parámetro como el valor de authorization_endpoint en Openid-configuration. Este parámetro sólo es necesario si establece Tipo de acceso en Acceso programático y acceso a la consola de gestión.
   Scopes	Ámbitos de las solicitudes de autorización. openid está seleccionado por defecto. Este parámetro sólo es necesario si establece Tipo de acceso en Acceso programático y acceso a la consola de gestión. Valores enumerados: openid email profile
   Response Type	Tipo de respuesta de solicitudes de autorización. El valor predeterminado es id_token. Este parámetro sólo es necesario si establece Tipo de acceso en Acceso programático y acceso a la consola de gestión.
   Response Mode	Modo de respuesta de solicitudes de autorización. Las opciones incluyen form_post y fragment. form_post es recomendado. form_post: Si se selecciona este modo, establezca la URL de redirección en http://auth.huaweicloud.com/authul/oidc/post en el IdP de empresa. fragment: si se selecciona este modo, establezca la URL de redirección a https://auth.huaweicloud.com/authui/oidc/redirect en el IdP de empresa. Este parámetro sólo es necesario si establece Tipo de acceso en Acceso programático y acceso a la consola de gestión.
   Signing Key	Clave pública utilizada para firmar el token de ID del proveedor de identidad OpenID Connect. Por motivos de seguridad de la cuenta, cambie la clave de firma periódicamente.

4. Haga clic en OK.

Inicio de sesión como usuario federado

1. Haga clic en el enlace de inicio de sesión que se muestra en la página de detalles del proveedor de identidad y compruebe si se muestra la página de inicio de sesión del servidor IdP empresarial.
   1. En la página Identity Providers, haga clic en Modify en la columna Operation del proveedor de identidad.
   2. Copie el enlace de inicio de sesión que se muestra en la página Modify Identity Provider y visite el enlace usando un navegador.
   3. Si no se muestra la página de inicio de sesión del IdP empresarial, compruebe las configuraciones del proveedor de identidad y del servidor IdP empresarial.

2. Introduzca el nombre de usuario y la contraseña de un usuario creado en el sistema de gestión empresarial.
   • Si el inicio de sesión se realiza correctamente, agregue el enlace de inicio de sesión al sistema de gestión empresarial.
   • Si el inicio de sesión falla, compruebe el nombre de usuario y la contraseña.
   

   Los usuarios federados solo tienen permisos de lectura para Huawei Cloud de forma predeterminada. Para asignar permisos a usuarios federados, configure reglas de conversión de identidad para el proveedor de identidades. Para obtener más información, consulte Paso 2: Configurar reglas de conversión de identidad.

Operaciones relacionadas

• Consulta de la información del proveedor de identidad: en la lista del proveedor de identidad, haga clic en View en la fila que contiene el proveedor de identidad y vea su información básica, metadatos y reglas de conversión de identidad.
  

  Para modificar las configuraciones de un proveedor de identidad, haga clic en Modify en la parte inferior de la página de detalles.

• Modificación de un proveedor de identidad: en la lista de proveedores de identidad, haga clic en Modify en la fila que contiene el proveedor de identidad y, a continuación, cambie su estado o modifique la descripción, los metadatos o las reglas de conversión de identidad.
• Eliminar un proveedor de identidad: En la lista de proveedores de identidad, haga clic en Delete en la fila que contiene el proveedor de identidad y haga clic en Yes.

Procedimiento posterior

• Configure las reglas de conversión de identidad para asignar los usuarios de IdP de empresa a los grupos de usuarios de IAM y conceda permisos a los usuarios. Para más detalles, consulte Paso 2: Configurar reglas de conversión de identidad.
• Configure el sistema de gestión empresarial para permitir a los usuarios acceder a Huawei Cloud a través de SSO. Para más detalles, consulte (Opcional) Paso 3: Configurar el enlace de inicio de sesión en el sistema de gestión empresarial.