Descripción general del inicio de sesión único del usuario de IAM a través de SAML
Huawei Cloud admite la federación de identidades con SAML (Security Assertion Markup Language), que es un estándar abierto que utilizan muchos proveedores de identidades (IdP). Durante la federación de identidades, Huawei Cloud funciona como un proveedor de servicios (SP) y las empresas funcionan como IdPs. La federación basada en SAML permite el inicio de sesión único (SSO), por lo que los empleados de su empresa pueden iniciar sesión en Huawei Cloud como usuarios de IAM.
Esta sección describe cómo configurar la federación de identidades y cómo funciona la federación de identidades.
Asegúrese de que su IdP empresarial sea compatible con SAML 2.0.
Configuración de la federación de identidades
A continuación se describe cómo configurar su IdP empresarial y Huawei Cloud para que confíen entre sí.
- Crear una entidad IdP y establecer una relación de confianza: Cree una entidad IdP para su empresa en Huawei Cloud. A continuación, cargue el archivo de metadatos de Huawei Cloud en el IdP empresarial y cargue el archivo de metadatos del IdP empresarial en Huawei Cloud.
Figura 2 Intercambio de archivos de metadatos
- Configurar el IdP empresarial: Configure los parámetros del IdP empresarial para determinar qué información se puede enviar a Huawei Cloud.
- Configurar un ID de identidad externo: Establezca una asignación entre un usuario de IAM y un usuario de empresa. Cuando su IdP empresarial establece el acceso SSO a Huawei Cloud, el usuario empresarial puede iniciar sesión en Huawei Cloud como el usuario IAM con el ID de identidad externo especificado. Por ejemplo, si un usuario de empresa IdP_Test_User se asigna al usuario de IAM Alice, el usuario de empresa IdP_Test_User iniciará sesión en Huawei Cloud como el usuario de IAM Alice.
Figura 3 Asignación de identidades externas a usuarios de IAM
- Verificar el inicio de sesión federado: Compruebe si el usuario empresarial puede iniciar sesión en Huawei Cloud a través de SSO.
- (Opcional) Configurar una entrada de inicio de sesión federada: Configure el enlace de inicio de sesión (consulte Figura 4) en el IdP empresarial para permitir que los usuarios empresariales sean redirigidos a Huawei Cloud desde su sistema de gestión empresarial.
Cómo funciona la federación de identidades
Figura 5 muestra el proceso de federación de identidades entre un sistema de gestión empresarial y Huawei Cloud.
Para ver las solicitudes y afirmaciones interactivas con una mejor experiencia, se recomienda utilizar Google Chrome e instalar SAML Message Decoder.
- Un usuario abre el enlace de inicio de sesión generado después de la creación del IdP en el navegador. El navegador envía una solicitud de inicio de sesión único a Huawei Cloud.
- Huawei Cloud autentica al usuario contra el archivo de metadatos del IdP empresarial y crea una solicitud SAML al navegador.
- El navegador reenvía la solicitud SAML al IdP de empresa.
- El usuario introduce su nombre de usuario y contraseña en la página de inicio de sesión. Después de que el IdP de empresa autentica la identidad del usuario, construye una aserción SAML que contiene los detalles del usuario y envía la aserción al navegador como una respuesta SAML.
- El navegador responde y reenvía la respuesta SAML a Huawei Cloud.
- Huawei Cloud analiza la afirmación en la respuesta SAML, identifica el grupo de usuarios de IAM que se asigna al usuario según las reglas de conversión de identidad y emite un token al usuario.
- El inicio de sesión SSO se realiza correctamente.
La aserción debe llevar una firma; de lo contrario, el inicio de sesión fallará.