云服务器内容精选
-
操作步骤 开通OrgID并创建组织 开通OrgID。 创建组织。 添加部门及成员 (可选)添加部门,完善组织架构。 添加成员 创建成员,添加只属于该组织的成员。 邀请成员,将已拥有个人华为账号的成员添加进组织。 创建并授权应用 创建应用,使用OAuth2方式进行认证集成,并为成员授权,具体操作请参见创建自建应用。 授权后,成员可访问该应用。 应用创建后,在“通用配置”页面获取Client_id、ClientSecret,如图1所示。 图1 接口认证凭证 在“登录配置”页面复制该应用的首页URL,如图2所示,并在应用的“登录配置”页面的首页URL地址中获取code(基于OAuth协议,OrgID给用户颁发的code)。 图2 首页URL 应用侧登录对接OrgID 调用获取AccessToken接口,使用code获取access_token,接口Body参数如表1所示。 表1 Body参数说明 参数名称 说明 grant_type 授权方式。该参数为固定值authorization_code。 code 授权码。使用3.c中获取的code。 client_id 创建应用后OrgID提供的client_id。使用3.b中获取的client_id。 client_secret 创建应用后OrgID提供的client_secret。使用3.b中获取的client_secret。 redirect_uri 配置code的接收地址,即创建自建应用时配置的首页URL。 调用获取用户信息接口,根据access_token获取登录用户的用户信息,其中接口Body的Authorization参数为4.a获取的access_Token。 调用/oauth/logout接口登出OrgID和应用,需要带上service参数(应用的登出地址),OrgID登出后会重定向到service地址。 调用/oauth/logout接口需在前端调用,在前端进行重定向至应用登出地址。
-
配置应用授权 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签,单击待修改的应用操作列的“配置”。 单击“授权管理”,进入“授权管理”页签。 单击“授权设置”,在“授权设置”界面中选择被授权成员信息,单击“下一步”。 选择可用成员范围,可勾选“全员可用”或“自定义人员范围”,勾选“自定义人员范围”后可以指定成员、部门或者用户组,然后单击“确认”。 设置后,应用授权范围中会显示授权部门、授权人员或授权用户组信息。同时,授权用户列表中也会展示授权账号的详细情况(包括姓名、账号名、应用侧角色、来源、更新时间和同步状态),支持按照账号名进行过滤查询。
-
使用对象 OrgID使用对象分为超级管理员、组织管理员、部门管理员和普通用户四种,不同对象的操作权限请参见常见操作与系统角色的关系。 超级管理员:是开通OrgID后拥有创建组织权限的用户。创建组织后,自动成为组织创建者,是组织内的超级管理员。 组织管理员:是超级管理员创建组织后在组织管理中心的“权限管理”页面添加为组织管理员的用户。 部门管理员:是超级管理员或组织管理员在组织管理中心的“权限管理”页面添加为部门管理员的用户。 普通用户:指具体使用OrgID的用户,由管理员在管理中心添加或邀请的用户。添加的用户会自动开通管理式华为账号,可登录并访问OrgID用户中心,邀请的用户账号也可以登录并访问OrgID用户中心。
-
使用账号 OrgID使用账号分为个人华为账号、管理式华为账号和第三方认证源账号。 个人华为账号:是由个人在华为集团账号系统申请获得,包括使用终端设备、华为云渠道、消费者应用等获取。该类账号归属于个人,可以通过邀请方式加入组织,也可以自己开通OrgID并创建组织。 管理式华为账号:是由组织的管理员创建生成,该类账号只归属于本组织所有,不可以加入其他组织。 第三方认证源账号:是指登录认证由第三方认证源提供,鉴权认证通过后,将登录OrgID进行后续业务操作,具体支持的认证源及认证操作请参见认证源管理。 管理式华为账号归属于组织,个人华为账号归属于个人。这两种账号在使用中是有区分的,管理员可以为管理式账号重置密码,但无法为个人账号重置密码。
-
开通与使用流程 租户需要先在华为云开通OrgID服务,才能进一步登录并使用OrgID服务。OrgID的开通与使用流程如图1所示。 图1 开通与使用流程 开通OrgID: 登录华为云OrgID控制台:租户使用个人华为账号登录华为云OrgID控制台,如果没有个人华为账号请先 注册华为账号 并完成实名认证。 创建组织:单击“创建组织”,系统会判断是否是首次创建组织。 首次创建组织:需要申请加入OrgID白名单,加入白名单后阅读并同意服务声明,然后可以开始创建组织。 非首次创建组织:进入OrgID业务面开始创建组织。 使用OrgID: 在华为云OrgID控制台开通OrgID后,才能开始使用OrgID。 个人华为账号直接访问OrgID管理控制台,可以创建组织,并进入组织的管理中心进行组织管理等操作,相关操作请参见管理中心介绍。 登录华为云后可以免登录访问OrgID管理控制台进行组织管理等操作,相关操作请参见管理中心介绍。
-
登录场景介绍 用户可以使用个人华为账号或管理式华为账号登录OrgID,用户可根据账号类型,选择不同的登录方式。另外,也支持个人华为账号、管理式华为账号或第三方认证源账号通过OrgID访问某个注册在OrgID的应用;或者登录OrgID后,在用户中心免登录访问应用列表中的应用或华为云服务。 表1 OrgID登录场景 登录场景 使用账号 操作步骤 操作说明 登录OrgID 个人华为账号 访问OrgID。 输入账号名和密码,账号名处也可以输入手机号码或者邮箱地址,单击“登录”。 首次登录后显示OrgID管理控制台,后续登录默认进入最近访问的OrgID组织用户中心。 登录后可以创建组织,具体请参见创建组织。创建完成后,该华为账号会自动成为该组织的超级管理员,拥有该组织的所有管理权限。可以访问该组织的用户中心,可切换至该组织的管理中心,并进行组织管理。 管理式华为账号 访问OrgID。 输入账号名和密码,仅支持输入账号名,单击“登录”。 成功登录后,根据账号的权限不同,界面的呈现和可执行的操作不同,具体如下: 组织管理员:登录后显示用户中心,可切换至组织的管理中心,除不能进行创建组织和解散组织的操作外,其余权限与组织创建者一致。 部门管理员:登录后显示用户中心,可切换至组织的管理中心,拥有查看组织信息、管理成员部门、管理应用的操作权限。 普通用户:登录后只能访问组织的用户中心,支持的操作可参见用户中心介绍。 通过OrgID访问某个注册在OrgID的应用 个人华为账号 管理式华为账号 通过管理员获取某个注册在OrgID的应用URL或者该应用的登录地址。 访问该地址,页面显示OrgID登录页。 输入账号名及密码,单击“登录”。 登录成功后,系统自动回调到应用首页,应用能够获取到用户授权的个人信息。 OrgID会给应用发放授权码,通过授权码,应用获取相关TOKEN,并根据TOKEN调用获取用户信息接口,获取的用户信息。 第三方认证源账号 使用第三方认证源账号登录OrgID前,需组织创建者或组织管理员在OrgID中配置第三方认证源,具体请参见认证源管理。 通过管理员获取某个注册在OrgID的应用URL或者该应用的登录地址。 访问该地址,页面显示OrgID登录页。 切换认证源,展示第三方认证源的登录页面。 输入第三方认证源账号名和密码,单击“登录”。 成功登录后显示应用首页。 免登录访问用户中心界面的应用或华为云服务 个人华为账号 管理式华为账号 第三方认证源账号 访问OrgID。 输入账号名及密码,单击“登录”。 成功登录后,进入用户中心首页。 单击最近使用或者全部应用中的应用/华为云服务,免登录进入该应用/华为云服务系统。 该应用/华为云服务会获取到用户授权的个人信息。 -
-
更多操作 部门添加成功后,您还可以进行以下操作。 表1 部门管理 操作名称 操作步骤 编辑部门 单击待修改部门所在行“操作”列下的“编辑部门”。 组织创建成功后,会默认生成一个一级部门,该一级部门不支持编辑。 修改部门信息,单击“更新”。 添加子部门 单击待添加子部门的部门所在行“操作”列下的“添加子部门”。 输入部门名称、设置部门CODE(可选),单击“确认”。 删除部门 单击待删除部门所在行“操作”列下的“删除”。 一级部门不支持删除。删除部门后,数据无法恢复,请谨慎操作。 单击“确认”。
-
(可选)同步集成配置 当需要同步应用的数据给第三方系统时,可开启同步集成开关,详细的同步数据请参见联营Kit接口描述联营Kit接口描述。 配置相关参数,参数说明如表2所示。 表2 同步集成配置参数说明 参数名称 参数说明 回调URL 用于同步该应用的数据给其他第三方系统的URL。 签名密钥 用于对回调消息体内容签名。 加密密钥 用于传输ClientSecret的加密公钥。 摘要算法 选择加密算法,如:SHA256或SHA1。 SHA1安全强度不高,不建议使用。
-
(可选)登录配置 (可选)如果需要获取首页URL或管理员登录地址供其他用户使用,可单击获取。 管理员登录地址为空即表示在5中未配置管理员登录地址。 (可选)如果已进行认证源管理,可选择开启认证源。最多可以开启3个认证源,例如可以同时开启钉钉和2个OAuth认证源。根据开启的认证源类型不同,界面操作不同,具体如下。 开启组织社交认证源(钉钉、企业微信或Welink):开启后,界面提示“保存成功”即成功开启。 开启组织认证源(OAuth、CAS、SAML、OIDC或AD):开启后,需要选择关联的认证源,最多可关联3个,单击“保存”,界面提示“保存成功”即成功开启。 开启后,登录页会新增“其他方式登录”选项,可选择使用该认证源登录应用。
-
(可选)角色配置 可以按照如下操作配置自建应用的角色并为角色关联权限及数据范围,也支持批量导入角色配置数据,当角色配置后,支持导出已配置的角色数据。 新建角色。 在“角色管理”页签,单击“新建角色”。 配置角色信息,具体参数请参见表4,配置完成后,单击“确定”。 表4 角色信息参数说明 参数名称 参数说明 角色编码 自定义角色编码,最多可输出65个字符。 角色名称 自定义角色名称,最多可输出33个字符。 角色描述 填写角色描述,最多可输出256个字符。 最大可申请时间 可以设置该角色可申请的最大时间,即用户申请该角色权限时可申请的最长时间。 单位为天,如设置180天,用户申请该角色权限时,权限的有效期最多只能设置到180天后。如不设置,则默认用户申请后权限3年内有效。 审批人 需要设置用户申请该角色权限时的审批人。 按照角色审批:按照角色设置审批人,需要选择是否为OrgID应用角色,并选择对应角色。 按照用户审批:直接指定审批人。 OrgID应用角色 选择是否为OrgID应用角色。 是:选择OrgID应用角色,包括部门管理员、组织管理员、超级管理员。 否:选择已创建的应用角色。 新增权限。 在“权限管理”页签,单击“新增权限”。 配置权限信息,具体参数请参见表5,配置完成后,单击“确定”。 表5 权限信息参数说明 参数名称 参数说明 权限编码 自定义权限编码,最多可输出65个字符。 权限名称 自定义权限名称,最多可输出33个字符。 权限描述 填写权限描述,最多可输出256个字符。 权限类型 可以按照应用的API、菜单、按钮分别设置权限。 权限内容 设置具体的权限内容,使用英文逗号隔开。 其中API权限需要输入正确的API格式,包括接口方法和路径,如:POST /v1/xxx,GET /v1/xxx。 为角色配置权限。 在“角色管理”页签,角色列表中,单击已创建的角色所在行“操作”列的“权限配置”,如图2所示。 图2 权限配置 单击“添加权限”。 可以在不同页签分别勾选已创建的权限,然后单击“确定”。 完成角色与权限的关联,当用户申请相应角色权限后,只拥有该角色关联的权限。 新增数据范围 在“数据范围”页签,单击“新增数据范围”。 输入数据范围编码、数据范围名称、数据范围描述,然后单击“确定”。 新增后列表显示已新增的数据范围。 为数据范围指定具体的数据明细 在“数据范围”页签,数据范围列表中,单击已新增的数据范围所在行“操作”列的“数据明细”,如图3所示。 图3 数据明细 单击“新增”。 输入明细编码、明细名称、明细描述,然后单击“确定”。 为角色添加数据范围 在“角色管理”页签,角色列表中,单击已创建的角色所在行“操作”列的“数据范围”,如图4所示。 图4 添加数据范围 单击“添加数据范围”。 勾选已新增数据范围,然后单击“确定”。
-
授权管理配置 单击“授权设置”,在“授权设置”界面中选择被授权成员信息,单击“下一步”。 选择可用成员范围,可勾选“全员可用”或“自定义人员范围”,勾选“自定义人员范围”后可以指定成员、部门或者用户组,然后单击“确认”。 设置后,应用授权范围中会显示授权部门、授权人员或授权用户组信息。同时,授权用户列表中也会展示授权账号的详细情况(包括姓名、账号名、应用侧角色、来源、更新时间和同步状态),支持按照时间或账号名进行过滤查询。
-
(可选)访问控制策略配置 当需要控制用户在指定的时间或区域范围内访问应用时,可开启访问控制开关。 配置默认策略。默认策略可选择“允许所有用户访问”或“拒绝所有用户访问”。 单击“添加策略”,配置策略参数,参数说明如表3所示。 策略添加完成后,可单击“是否生效”列的开启策略。开启后可单击“是否生效”列的关闭策略。 表3 添加策略参数说明 参数名称 参数说明 策略名称 应用访问策略的名称。 描述 可选项,应用访问策略的描述信息。 访问时间 可选择任意时间、指定星期范围内或指定日期范围内。 区域范围 可选择不限定或指定ip段。 选择指定ip段后,需先添加区域范围,包括设置区 域名 称、区域网段和描述信息。然后选择已添加的区域范围即可。 访问策略 勾选访问策略。 允许访问:符合设置的访问时间或区域范围的用户允许访问该应用。 拒绝:符合设置的访问时间或区域范围的用户无法访问该应用。 二次验证:符合设置的访问时间或区域范围的用户可以使用手机验证码进行验证,验证通过后即可访问该应用。
-
认证集成配置 选择认证集成方式:OAuth2、OIDC、SAML、CAS3,选择后不支持修改。 根据选择的认证集成方式不同,需要配置不同的参数,参数说明如表1所示。配置完成后,单击“保存”。 表1 认证集成配置参数说明 认证集成方式 参数名称 参数说明 OAuth2 首页URL 应用首页的URL地址,例:https://xx.xx。 支持设置多个首页的URL地址,可单击“新建URL”,添加新的URL地址。 管理员登录URL 可选项,管理员登录应用的URL地址。 退出地址 可选项,应用的退出地址,请以http或https开头,例:https://xxx.xxx.xxx/logout。 Refresh Token有效期(秒) 允许用户在多久时间内不用重新登录应用的时间。 Access Token有效期(秒) 允许用户在多久时间内保持登录应用的时间。 OIDC 首页URL 应用首页的URL地址,例:https://xx.xx。 管理员登录URL 可选项,管理员登录应用的URL地址。 退出地址 可选项,应用的退出地址,请以http或https开头,例:https://xxx.xxx.xxx/logout。 授权码模式 可选项,是否开启授权码模式,默认开启。 TOKEN签名算法 支持选择:RS256、RS384、RS512。 Access Token有效期(秒) 允许用户在多久时间内保持登录应用的时间。 Refresh Token有效期(秒) 允许用户在多久时间内不用重新登录应用的时间。 SAML SP Entity ID SP唯一标识,对应SP元数据文件中的“Entity ID”的值。 断言消费地址(A CS URL) SP回调地址(断言消费服务地址),对应SP元数据文件中“AssertionConsumerService”的值,即当认证成功后响应返回的值。 Name ID 用户在应用系统中的账号名对应字段,支持选择:邮箱、手机号、用户名、用户ID、账号名。 NameID Format 可选项,SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。支持选择: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:persistent Audience URI 可选项,允许使用SAML断言的资源,默认和SP Entity ID相同。 Single Logout URL 可选项,服务提供商提供会话注销功能,用户在OrgID注销会话后返回绑定的地址。对应SP元数据文件中“SingleLogoutService” 的值。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。 默认Relay State 可选项,使用在IdP发起的认证中,作为默认的一个值。 支持ForceAuth 可选项,如果SP要求重新认证,则强制用户再次认证。 Response签名 可选项,是否对SAML Response使用IdP的证书签名。 断言签名 可选项,断言需使用IdP的证书签名,对应SP元数据文件中“WantAssertionsSigned”值。 数字签名算法 可选项,SAML Response或者断言签名的算法。支持RSA_SHA256、RSA_SHA512、RSA_RIPEMD160,可在下拉框选择。 数字摘要算法 可选项,SAML Response或者断言的数字摘要算法。支持SHA256、SHA512、RIPEMD160,可在下拉框选择。 断言加密 可选项,是否对断言进行加密。 验证请求签名 可选项,是否对SAML Request签名进行验证,对应SP元数据文件中“AuthnRequestsSigned”值。 CAS3 首页URL 应用首页的URL地址,例:https://xx.xx。 管理员登录URL 可选项,管理员登录应用的URL地址。 退出地址 可选项,应用的退出地址,请以http或https开头,例:https://xxx.xxx.xxx/logout。 (可选)如果需要关联OrgID和自建应用的用户属性,可选择“映射配置”页签,单击“添加映射”,选择关联属性和映射属性,单击“确定”保存映射,单击“测试”,测试映射关系是否成立。 需要修改映射时,可单击操作列的“编辑”进行修改。
-
应用基本信息配置 登录管理中心。 选择左侧导航栏的“应用管理”。 单击“添加自建应用”。 输入应用名称,如“App-test”。 上传应用图标,图标要求必须为JPG或PNG格式,大小不超过20KB,尺寸240*240px。 选择应用类型,当前仅支持选择“Web”。 设置应用负责人,输入并选择成员姓名,将成员设置为应用负责人。 应用负责人即该应用的应用管理员,只有应用管理员才能更新该应用配置,其他管理员没有操作该应用的权限。 普通成员不能成为应用负责人,需先成为组织管理员、部门管理员才能被设置为应用负责人。 单击“确定”,进入认证集成页面。
-
开启/关闭认证源 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签,单击待修改的应用操作列的“配置”。 单击“登录配置”,进入“登录配置”页签。 在“认证方式”模块,开启/关闭指定认证源操作列的开关即可。最多可以开启3个认证源,例如可以同时开启钉钉和2个OAuth认证源。根据开启的认证源类型不同,界面操作不同,具体如下: 开启组织社交认证源(钉钉、企业微信或Welink):开启后,界面提示“保存成功”即成功开启。 开启组织认证源(OAuth、CAS、SAML、OIDC或AD):开启后,需要选择关联的认证源,最多可关联3个,单击“保存”,界面提示“保存成功”即成功开启。 开启后,登录页会新增“其他方式登录”选项,可选择使用该认证源登录应用。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
