Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Identity and Access Management/ Guía del usuario/ Proveedores de identidades/ SSO de usuario de IAM a través de SAML/ Descripción general del inicio de sesión único del usuario de IAM a través de SAML
Actualización más reciente 2024-07-30 GMT+08:00

Descripción general del inicio de sesión único del usuario de IAM a través de SAML

Huawei Cloud admite la federación de identidades con SAML (Security Assertion Markup Language), que es un estándar abierto que utilizan muchos proveedores de identidades (IdP). Durante la federación de identidades, Huawei Cloud funciona como un proveedor de servicios (SP) y las empresas funcionan como IdPs. La federación basada en SAML permite el inicio de sesión único (SSO), por lo que los empleados de su empresa pueden iniciar sesión en Huawei Cloud como usuarios de IAM.

Esta sección describe cómo configurar la federación de identidades y cómo funciona la federación de identidades.

Asegúrese de que su IdP empresarial sea compatible con SAML 2.0.

Configuración de la federación de identidades

A continuación se describe cómo configurar su IdP empresarial y Huawei Cloud para que confíen entre sí.

Figura 1 Configuración del inicio de sesión único del usuario de IAM a través de SAML
  1. Crear una entidad IdP y establecer una relación de confianza: Cree una entidad IdP para su empresa en Huawei Cloud. A continuación, cargue el archivo de metadatos de Huawei Cloud en el IdP empresarial y cargue el archivo de metadatos del IdP empresarial en Huawei Cloud.
    Figura 2 Intercambio de archivos de metadatos
  2. Configurar el IdP empresarial: Configure los parámetros del IdP empresarial para determinar qué información se puede enviar a Huawei Cloud.
  3. Configurar un ID de identidad externo: Establezca una asignación entre un usuario de IAM y un usuario de empresa. Cuando su IdP empresarial establece el acceso SSO a Huawei Cloud, el usuario empresarial puede iniciar sesión en Huawei Cloud como el usuario IAM con el ID de identidad externo especificado. Por ejemplo, si un usuario de empresa IdP_Test_User se asigna al usuario de IAM Alice, el usuario de empresa IdP_Test_User iniciará sesión en Huawei Cloud como el usuario de IAM Alice.
    Figura 3 Asignación de identidades externas a usuarios de IAM
  4. Verificar el inicio de sesión federado: Compruebe si el usuario empresarial puede iniciar sesión en Huawei Cloud a través de SSO.
  5. (Opcional) Configurar una entrada de inicio de sesión federada: Configure el enlace de inicio de sesión (consulte Figura 4) en el IdP empresarial para permitir que los usuarios empresariales sean redirigidos a Huawei Cloud desde su sistema de gestión empresarial.
    Figura 4 Modelo de inicio de sesión SSO

Cómo funciona la federación de identidades

Figura 5 muestra el proceso de federación de identidades entre un sistema de gestión empresarial y Huawei Cloud.

Figura 5 Cómo funciona la federación de identidades

Para ver las solicitudes y afirmaciones interactivas con una mejor experiencia, se recomienda utilizar Google Chrome e instalar SAML Message Decoder.

Como se muestra en Figura 5, el proceso de federación de identidad es el siguiente:
  1. Un usuario abre el enlace de inicio de sesión generado después de la creación del IdP en el navegador. El navegador envía una solicitud de inicio de sesión único a Huawei Cloud.
  2. Huawei Cloud autentica al usuario contra el archivo de metadatos del IdP empresarial y crea una solicitud SAML al navegador.
  3. El navegador reenvía la solicitud SAML al IdP de empresa.
  4. El usuario introduce su nombre de usuario y contraseña en la página de inicio de sesión. Después de que el IdP de empresa autentica la identidad del usuario, construye una aserción SAML que contiene los detalles del usuario y envía la aserción al navegador como una respuesta SAML.
  5. El navegador responde y reenvía la respuesta SAML a Huawei Cloud.
  6. Huawei Cloud analiza la afirmación en la respuesta SAML, identifica el grupo de usuarios de IAM que se asigna al usuario según las reglas de conversión de identidad y emite un token al usuario.
  7. El inicio de sesión SSO se realiza correctamente.

La aserción debe llevar una firma; de lo contrario, el inicio de sesión fallará.