Escenarios de aplicación de SSO de usuario virtual y SSO de usuario de IAM
IAM admite dos tipos de SSO: SSO de usuario virtual y SSO de usuario de IAM. Esta sección describe los dos tipos de SSO y sus diferencias, lo que le ayuda a elegir un tipo adecuado para su negocio.
SSO de usuario virtual
Después de que un usuario federado inicie sesión en Huawei Cloud, el sistema crea automáticamente un usuario virtual y asigna permisos al usuario según las reglas de conversión de identidad. Se recomienda el inicio de sesión único del usuario virtual si:
- Para reducir los costos de gestión, no desea crear y gestionar usuarios de IAM en la plataforma en la nube.
- Desea asignar permisos para los recursos de la nube en función de los grupos de usuarios o atributos en su IdP de empresa local. Los cambios de permisos en el IdP empresarial local se pueden sincronizar con la plataforma en la nube ajustando los grupos de usuarios o atributos localmente.
- Su empresa tiene sucursales y puede requerir múltiples IdPs empresariales. Estos IdPs tienen que acceder a la misma cuenta de Huawei Cloud. Necesita configurar múltiples IdPs en Huawei Cloud para la federación de identidades.
Inicio de sesión único del usuario de IAM
Después de que un usuario federado inicie sesión en Huawei Cloud, el sistema asigna automáticamente el ID de identidad externo a un usuario de IAM para que el usuario federado tenga los permisos del usuario de IAM asignado. Se recomienda el inicio de sesión único del usuario de IAM si:
- Los productos en la nube que utiliza (como CodeArts) no admiten el inicio de sesión único del usuario virtual.
- No necesita SSO de usuario virtual y desea simplificar la configuración de IdP.
Diferencias entre SSO de usuario virtual y SSO de usuario de IAM
Las diferencias entre el SSO de usuario virtual y el SSO de usuario de IAM se describen a continuación:
1. Conversión de identidad: El SSO de usuario virtual utiliza reglas de conversión de identidad, mientras que el SSO de usuario de IAM utiliza ID de identidad externos para la conversión de identidad. Un usuario IdP se asignará a un usuario IAM si el valor IAM_SAML_Attributes_xUserId del usuario IdP es el mismo que el ID de identidad externo del usuario IAM. Cuando utilice el inicio de sesión único del usuario de IAM, asegúrese de haber establecido IAM_SAML_Attributes_xUserId en el IdP y External Identity ID en el SP en el mismo valor.
2. Identidad de usuario en IAM: En el SSO de usuario virtual, el usuario IdP no tiene un usuario IAM correspondiente en la lista de usuarios IAM. Después de que el usuario IdP inicie sesión, el sistema crea automáticamente un usuario virtual para él. En el SSO del usuario de IAM, el usuario de IdP tiene un usuario de IAM asignado por ID de identidad externa en la consola de IAM.
3. Asignación de permisos en IAM: en el inicio de sesión único del usuario virtual, los permisos del usuario IdP se definen mediante la regla de conversión de identidad. En el SSO del usuario de IAM, el usuario de IdP hereda los permisos del grupo de usuarios al que pertenece el usuario de IAM asignado.