Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Identity and Access Management> Guía del usuario> Broker de identidades personalizado> Habilitación del acceso de agente de identidad personalizado con un token
Actualización más reciente 2023-11-25 GMT+08:00
Ver PDF

Habilitación del acceso de agente de identidad personalizado con un token

Si el IdP de su empresa no es compatible con SAML o OpenID Connect, puede crear un agente de identidad personalizado para habilitar el acceso a Huawei Cloud. Puede escribir y ejecutar código para generar una URL de inicio de sesión. Los usuarios de su empresa pueden usar la URL para iniciar sesión en Huawei Cloud. Los usuarios serán autenticados por su IdP de empresa.

Si su IdP empresarial es compatible con SAML o OpenID Connect, configure autenticación de identidad federada para permitir que los usuarios de su empresa accedan a Huawei Cloud a través de SSO.

Prerrequisitos

  • Su empresa tiene un sistema de gestión empresarial.
  • Ha registrado una cuenta (por ejemplo, DomainA) en Huawei Cloud como administrador empresarial.

Procedimiento

  1. Utilice la cuenta DomainA para crear un usuario IAM (por ejemplo, UserB) siguiendo las instrucciones en Creación de un usuario de IAM.
  2. (Opcional) Agregar UserB a un grupo de usuarios (por ejemplo, GroupC) y conceder permisos al grupo de usuarios siguiendo las instrucciones en Creación de un grupo de usuarios y asignación de permisos.
  3. Configure clave de acceso (recomendada) o el nombre de usuario y la contraseña de UserB en el archivo de configuración de su IdP de empresa para que el usuario pueda obtener un token de usuario. Para la seguridad de la cuenta, cifre la contraseña y la clave de acceso antes de almacenarlos.
  4. Inicie sesión en el sistema de gestión empresarial, acceda al agente de identidad personalizado seleccionando un usuario común de la lista de usuarios. Para obtener más información, consulte la documentación del sistema de gestión empresarial. Para este ejemplo, seleccione el usuario UserB creado en 2.

    La lista de usuarios del bróker personalizado es la misma que la lista de usuarios de IAM en su cuenta de Huawei Cloud. Para alinear estos usuarios de IAM con las cuentas de usuario de su empresa, configure las claves de acceso (recomendadas) o nombres de usuario y contraseñas en el archivo de configuración del IdP de empresa.

  5. El agente de identidad personalizado utiliza el token de userB para llamar a la API POST /v3.0/OS-CREDENTIAL/securitytokens usados para obtener una clave de acceso temporal y securityToken. Para obtener más información, consulte Obtención de una clave de acceso temporal y un token de seguridad mediante un token.
  6. El agente de identidad personalizado utiliza la clave de acceso temporal, securityToken y el nombre de dominio global de IAM (iam.myhuaweicloud.com) para llamar a la API POST /v3.0/OS-AUTH/securitytoken/logintokens para obtener un loginToken. El valor de X-Subject-LoginToken en el encabezado de respuesta es un loginToken. Para obtener más información, consulte Obtención de un LoginToken.

    • Para obtener un loginToken llamando a la API POST /v3.0/OS-AUTH/securitytoken/logintokens, utilice el nombre de dominio global (iam.myhuaweicloud.com) de IAM.
    • Un loginToken se emite a un usuario para iniciar sesión a través de un agente de identidad personalizado y contiene información de identidad y sesión sobre el usuario. Un loginToken es válido durante 10 minutos por defecto.
    • Puede establecer el período de validez de un loginToken llamando a la API POST /v3.0/OS-AUTH/securitytoken/logintokens. El período de validez oscila entre 10 minutos y 12 horas. Si el valor especificado es mayor que el período de validez restante del token de seguridad temporal, se utiliza el período de validez restante del token de seguridad temporal.

  7. El agente de identidad personalizado genera un FederationProxyUrl y lo devuelve al navegador a través de Location.

    https://auth.huaweicloud.com/authui/federation/login?idp_login_url={enterprise_system_loginURL}&service={console_service_region_url}&logintoken={logintoken}

    Ejemplo:

    https://auth.huaweicloud.com/authui/federation/login?idp_login_url=https%3A%2F%2Fexample.com&service=https%3a%2f%2fconsole.huaweicloud.com%2fapm%2f%3fregion%3dcn-north-4%23%2fapm%2fatps%2ftopology&logintoken=******
    Tabla 1 Descripción del parámetro

    Parámetro

    Descripción

    idp_login_url

    URL de inicio de sesión del sistema de gestión empresarial.

    service

    Dirección de acceso de un servicio Huawei Cloud.

    logintoken

    LoginToken del agente de identidad personalizado.

    Para obtener más información sobre cómo crear un FederationProxyUrl consulte el ejemplo proporcionado en Creación de un FederationProxyUrl mediante un token.

    El FederationProxyUrl contiene el loginToken que se ha obtenido de IAM, y el valor de cada parámetro en el FederationProxyUrl se codifica mediante URLEncode.

  8. Si el loginToken se autentica correctamente, se le redirigirá automáticamente a la dirección de servicio de Huawei Cloud especificada en el parámetro de service.

    Si el loginToken no se autentica, se le redirigirá a la dirección especificada en idp_login_url.