Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda/ Identity and Access Management/ Guía del usuario/ Proveedores de identidades/ SSO de usuario virtual a través de OpenID Connect/ Paso 1: Crear una entidad IdP

Actualización más reciente 2024-07-30 GMT+08:00

Ver PDF

Paso 1: Crear una entidad IdP

Para establecer una relación de confianza entre un IdP empresarial y Huawei Cloud, establezca las URL de redirección del usuario y cree credenciales de OAuth 2.0 en el IdP empresarial. En la consola IAM, cree una entidad IdP y configure la información de autorización.

Prerrequisitos

El administrador de la empresa ha creado una cuenta en Huawei Cloud, y ha creado grupos de usuarios y les ha asignado permisos en IAM. Para más detalles, consulte Creación de un grupo de usuarios y asignación de permisos. Los grupos de usuarios creados en IAM se asignarán a los usuarios federados para que los usuarios federados puedan obtener los permisos de los grupos de usuarios para usar los recursos de Huawei Cloud.
El administrador de la empresa ha leído la documentación de ayuda del IdP de la empresa o ha entendido cómo utilizar el IdP de la empresa. Las configuraciones de diferentes IdPs empresariales difieren mucho, por lo que no se describen en este documento. Para obtener detalles sobre cómo obtener las credenciales de OAuth 2.0 de un IdP empresarial, consulte la documentación de ayuda de IdP.

Creación de credenciales de OAuth 2.0 en el IdP empresarial

Establezca las URL de redirección https:///authui/oidc/redirect y https:///authui/oidc/post en el IdP empresarial para que los usuarios puedan ser redirigidos al IdP de OpenID Connect en Huawei Cloud.
Obtenga las credenciales de OAuth 2.0 del IdP empresarial.

Creación de una entidad IdP en Huawei Cloud

Crear una entidad IdP y configurar la información de autorización en IAM para establecer una relación de confianza entre el IdP de la empresa y el IAM

Inicie sesión en la consola de IAM, elija Identity Providers en el panel de navegación y haga clic en Create Identity Provider en la esquina superior derecha.
Escriba un nombre de IdP, seleccione OpenID Connect y Enabled y haga clic en OK.

El nombre IdP debe ser único en su cuenta. Se recomienda utilizar el nombre de dominio.

Configuración de la información de autorización en Huawei Cloud

Haga clic en Modify en la columna Operation de la fila que contiene el IdP que desea modificar.

Seleccione un tipo de acceso.

**Tabla 1** Descripción del tipo de acceso
Tipo de acceso	Descripción
Acceso programático y acceso a la consola de gestión	Acceso programático: Los usuarios federados pueden utilizar herramientas de desarrollo (incluidas API, CLI y SDK) que admiten la autenticación clave para acceder a Huawei Cloud. Acceso a la consola de administración: los usuarios federados pueden iniciar sesión en Huawei Cloud con sus propios nombres de usuario y contraseñas. Seleccione este tipo de acceso si desea que los usuarios accedan a Huawei Cloud a través de SSO.
Acceso programático	Los usuarios federados solo pueden usar herramientas de desarrollo (incluidas API, CLI y SDK) que admitan autenticación clave para acceder a Huawei Cloud.

Especifique la información de configuración.

**Tabla 2** Información de configuración
Parámetro	Descripción
Identity Provider URL	URL del IdP de OpenID Connect. Establezca el valor de issuer en el Openid-configuration. NOTA: Openid-configuration indica una dirección URL definida en OpenID Connect, que contiene configuraciones de un IdP de empresa. El formato de URL es de https://{base URL}/.well-known/openid-configuration, donde la base URL es definida por el IdP de la empresa. Por ejemplo, la Openid-configuration de Google es de https://accounts.google.com/.well-known/openid-configuration.
Client ID	ID de un cliente registrado con el IdP de OpenID Connect. El ID de cliente es una credencial de OAuth 2.0 creada en el IdP de empresa.
Authorization Endpoint	Punto de conexión de autorización del IdP de OpenID Connect. Establezca el valor de authorization_endpoint en Openid-configuration. Este parámetro solo es necesario si se establece Access Type en Programmatic access and management console access.
Scopes	Ámbitos de las solicitudes de autorización. openid está seleccionado por defecto. Este parámetro solo es necesario si se establece Access Type en Programmatic access and management console access. Valores enumerados: openid email profile
Response Type	Tipo de respuesta de solicitudes de autorización. El valor predeterminado es id_token. Este parámetro solo es necesario si se establece Access Type en Programmatic access and management console access.
Response Mode	Modo de respuesta de solicitudes de autorización. Las opciones incluyen form_post y fragment. form_post es recomendado. form_post: Si se selecciona este modo, configure la URL de redirección a https:///authui/oidc/post en el IdP de empresa. fragment: si se selecciona este modo, establezca la URL de redirección a https:///authui/oidc/redirect en el IdP de empresa. Este parámetro solo es necesario si se establece Access Type en Programmatic access and management console access.
Signing Key	Clave pública utilizada para firmar el token de ID del IdP de OpenID Connect. Por motivos de seguridad de la cuenta, cambie la clave de firma periódicamente.

Haga clic en OK.

Verificación del inicio de sesión federado

Haga clic en el enlace de inicio de sesión que se muestra en la página de detalles del IdP y compruebe si se muestra la página de inicio de sesión del servidor IdP empresarial.
1. En la página Identity Providers, haga clic en Modify en la columna Operation del proveedor de identidad.
2. Copie el enlace de inicio de sesión que se muestra en la página Modify Identity Provider y visite el enlace usando un navegador.
3. Si no se muestra la página de inicio de sesión de IdP de empresa, compruebe las configuraciones del IdP y del servidor IdP de empresa.
Introduzca el nombre de usuario y la contraseña de un usuario creado en el sistema de gestión empresarial.
- Si el inicio de sesión se realiza correctamente, agregue el enlace de inicio de sesión al sistema de gestión empresarial.
- Si el inicio de sesión falla, compruebe el nombre de usuario y la contraseña.
Los usuarios federados solo pueden acceder a Huawei Cloud de forma predeterminada. Para asignar permisos a usuarios federados, configure las reglas de conversión de identidad para el IdP. Para obtener más información, véase Paso 2: Configurar reglas de conversión de identidad.

Operaciones relacionadas

Consulta de información de IdP: En la lista IdP, haga clic en View en la fila que contiene el IdP y vea su información básica, configuración de metadatos y reglas de conversión de identidad.

Para modificar la configuración de un IdP, haga clic en Modify en la parte inferior de la página de detalles.
Modificación de un IdP: En la lista IdP, haga clic en Modify en la fila que contiene el IdP y, a continuación, cambie su estado o modifique la descripción, metadatos o reglas de conversión de identidad.
Eliminación de un IdP: En la lista IdP, haga clic en Delete en la fila que contiene el IdP y haga clic en Yes en el cuadro de diálogo mostrado.

Acciones posteriores

Configure reglas de conversión de identidad para asignar usuarios de IdP de empresa a grupos de usuarios de IAM y asignar permisos a los usuarios. Para obtener más información, véase Paso 2: Configurar reglas de conversión de identidad.
Configure el sistema de gestión empresarial para permitir a los usuarios acceder a Huawei Cloud a través de SSO. Para obtener más información, véase (Opcional) Paso 3: Configurar el enlace de inicio de sesión en el sistema de gestión empresarial.

Tema principal: SSO de usuario virtual a través de OpenID Connect

Tema anterior: Descripción general del inicio de sesión único del usuario virtual mediante OpenID Connect

Tema siguiente: Paso 2: Configurar reglas de conversión de identidad