云服务器内容精选

  • 使用对象 OrgID使用对象分为超级管理员、组织管理员、部门管理员和普通用户四种,不同对象的操作权限请参见常见操作与系统角色的关系。 超级管理员:是开通OrgID后拥有创建组织权限的用户。创建组织后,自动成为组织创建者,是组织内的超级管理员。 组织管理员:是超级管理员创建组织后在组织管理中心的“权限管理”页面添加为组织管理员的用户。 部门管理员:是超级管理员或组织管理员在组织管理中心的“权限管理”页面添加为部门管理员的用户。 普通用户:指具体使用OrgID的用户,由管理员在管理中心添加或邀请的用户。添加的用户会自动开通管理式华为账号,可登录并访问OrgID用户中心,邀请的用户账号也可以登录并访问OrgID用户中心。
  • 开通与使用流程 租户需要先在华为云开通OrgID服务,才能进一步登录并使用OrgID服务。OrgID的开通与使用流程如图1所示。 图1 开通与使用流程 开通OrgID: 登录华为云OrgID控制台:租户使用个人华为账号登录华为云OrgID控制台,如果没有个人华为账号请先 注册华为账号 并完成实名认证。 创建组织:单击“创建组织”,系统会判断是否是首次创建组织。 首次创建组织:需要申请加入OrgID白名单,加入白名单后阅读并同意服务声明,然后可以开始创建组织。 非首次创建组织:进入OrgID业务面开始创建组织。 使用OrgID: 在华为云OrgID控制台开通OrgID后,才能开始使用OrgID。 个人华为账号直接访问OrgID管理控制台,可以创建组织,并进入组织的管理中心进行组织管理等操作,相关操作请参见管理中心介绍。 登录华为云后可以免登录访问OrgID管理控制台进行组织管理等操作,相关操作请参见管理中心介绍。
  • 使用账号 OrgID使用账号分为个人华为账号、管理式华为账号和第三方认证源账号。 个人华为账号:是由个人在华为集团账号系统申请获得,包括使用终端设备、华为云渠道、消费者应用等获取。该类账号归属于个人,可以通过邀请方式加入组织,也可以自己开通OrgID并创建组织。 管理式华为账号:是由组织的管理员创建生成,该类账号只归属于本组织所有,不可以加入其他组织。 第三方认证源账号:是指登录认证由第三方认证源提供,鉴权认证通过后,将登录OrgID进行后续业务操作,具体支持的认证源及认证操作请参见认证源管理。
  • 创建组织 登录OrgID管理控制台。 单击“创建组织”。 在“创建组织”页面,输入组织名称。 名称由1~60个中文、英文、数字及合法字符组成。 设置组织的 域名 。 域名是指网址 (如www.example.com) 中“www”之后的内容,以及电子邮件地址 (如《用户名》@example.com)中“@”符号之后的内容。 没有域名,可以输入组织简称,使用2~30位字母、数字和.-或它们的组合,如abc,后缀名为固定的.orgid.top,如图1所示。 图1 设置组织域名 已有域名,单击“使用自有域名”,输入自有域名,例如example.com,如图2所示。 图2 使用自有域名 域名设置后管理员为组织创建成员时,成员的管理式华为账号默认带有域名后缀,如设置的组织域名为abc.orgid.top,创建的成员账号为xxx@abc.orgid.top,设置的组织域名为example.com,添加的成员账号为xxx@example.com。 阅读并勾选相关服务协议,然后单击“创建”。 组织创建成功,您可以在控制台继续进行后续的组织管理操作。也可以在华为云OrgID控制台为组织开通联邦认证,开通联邦认证后,授权的用户可以通过联邦认证访问组织的华为云资源。
  • (可选)登录配置 (可选)如果需要获取首页URL或管理员登录地址供其他用户使用,可单击获取。 管理员登录地址为空即表示在5中未配置管理员登录地址。 (可选)如果已进行认证源管理,可选择开启认证源。根据开启的认证源类型不同,界面操作不同,具体如下。 开启组织社交认证源(钉钉、企业微信或Welink):开启后,界面提示“保存成功”即成功开启。 开启组织认证源(OAuth、CAS、SAML、OIDC或AD):开启后,需要选择关联的认证源,最多可关联3个,单击“保存”,界面提示“保存成功”即成功开启。 开启后,登录页会新增“其他方式登录”选项,可选择使用该认证源登录应用。 最多可以开启3个认证源,例如可以同时开启钉钉和2个OAuth认证源。
  • 授权管理配置 单击“授权设置”,在“授权设置”界面中选择被授权成员信息,单击“下一步”。 选择可用成员范围,可勾选“全员可用”或“自定义人员范围”,勾选“自定义人员范围”后还需要选择指定的部门与人员或者用户组。单击“确认”。 设置后,应用授权范围中会显示授权部门、授权人员或授权用户组信息。同时,授权用户列表中也会展示授权账号的详细情况(包括姓名、账号名、应用侧角色、来源、更新时间和同步状态),支持按照时间或账号名进行过滤查询。
  • (可选)访问控制策略配置 当需要控制用户在指定的时间或区域范围内访问应用时,可开启访问控制开关。 配置默认策略。默认策略可选择“允许所有用户访问”或“拒绝所有用户访问”。 默认策略用于访问该应用时无法匹配到应用访问策略的用户。 单击“添加策略”,配置策略参数,参数说明如表3所示。 表3 添加策略参数说明 参数名称 参数说明 策略名称 应用访问策略的名称。 描述 可选项,应用访问策略的描述信息。 访问时间 可选择任意时间、指定星期范围内或指定日期范围内。 区域范围 可选择不限定或指定ip段。 选择指定ip段后,需先添加区域范围,包括设置区域名称、区域网段和描述信息。然后选择已添加的区域范围即可。 访问策略 勾选访问策略。 允许访问:符合设置的访问时间或区域范围的用户允许访问该应用。 拒绝:符合设置的访问时间或区域范围的用户无法访问该应用。 二次验证:符合设置的访问时间或区域范围的用户可以使用手机验证码进行验证,验证通过后即可访问该应用。 策略添加完成后,可单击“是否生效”列的开启策略。开启后可单击“是否生效”列的关闭策略。
  • (可选)同步集成配置 当需要同步应用的数据给第三方系统时,可开启同步集成开关,详细的同步数据请参见联营Kit接口描述联营Kit接口描述。 配置相关参数,参数说明如表2所示。 表2 同步集成配置参数说明 参数名称 参数说明 回调URL 用于同步该应用的数据给其他第三方系统的URL。 签名密钥 用于对回调消息体内容签名。 加密密钥 用于传输ClientSecret的加密公钥。 摘要算法 选择加密算法,如:SHA256或SHA1。 注意: SHA1安全强度不高,不建议使用。
  • 认证集成配置 选择认证集成方式:OAuth2、OIDC、SAML、CAS3,选择后不支持修改。 根据选择的认证集成方式不同,需要配置不同的参数,参数说明如表1所示。配置完成后,单击“保存”。 表1 认证集成配置参数说明 认证集成方式 参数名称 参数说明 OAuth2 首页URL 应用首页的URL地址,例:https://xx.xx。 支持设置多个首页的URL地址,可单击“新建URL”,添加新的URL地址。 管理员登录URL 可选项,管理员登录应用的URL地址。 退出地址 可选项,应用的退出地址,请以http或https开头,例:https://xxx.xxx.xxx/logout。 Refresh Token有效期(秒) 允许用户在多久时间内不用重新登录应用的时间。 Access Token有效期(秒) 允许用户在多久时间内保持登录应用的时间。 OIDC 首页URL 应用首页的URL地址,例:https://xx.xx。 管理员登录URL 可选项,管理员登录应用的URL地址。 退出地址 可选项,应用的退出地址,请以http或https开头,例:https://xxx.xxx.xxx/logout。 授权码模式 可选项,是否开启授权码模式,默认开启。 TOKEN签名算法 支持选择:RS256、RS384、RS512。 Access Token有效期(秒) 允许用户在多久时间内保持登录应用的时间。 Refresh Token有效期(秒) 允许用户在多久时间内不用重新登录应用的时间。 SAML SP Entity ID SP唯一标识,对应SP元数据文件中的“Entity ID”的值。 断言消费地址(A CS URL) SP回调地址(断言消费服务地址),对应SP元数据文件中“AssertionConsumerService”的值,即当认证成功后响应返回的值。 Name ID 用户在应用系统中的账号名对应字段,支持选择:邮箱、手机号、用户名、用户ID、账号名。 NameID Format 可选项,SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。支持选择: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:persistent Audience URI 可选项,允许使用SAML断言的资源,默认和SP Entity ID相同。 Single Logout URL 可选项,服务提供商提供会话注销功能,用户在OrgID注销会话后返回绑定的地址。对应SP元数据文件中“SingleLogoutService” 的值。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。 默认Relay State 可选项,使用在IdP发起的认证中,作为默认的一个值。 支持ForceAuth 可选项,如果SP要求重新认证,则强制用户再次认证。 Response签名 可选项,是否对SAML Response使用IdP的证书签名。 断言签名 可选项,断言需使用IdP的证书签名,对应SP元数据文件中“WantAssertionsSigned”值。 数字签名算法 可选项,SAML Response或者断言签名的算法。支持RSA_SHA256、RSA_SHA512、RSA_RIPEMD160,可在下拉框选择。 数字摘要算法 可选项,SAML Response或者断言的数字摘要算法。支持SHA256、SHA512、RIPEMD160,可在下拉框选择。 断言加密 可选项,是否对断言进行加密。 验证请求签名 可选项,是否对SAML Request签名进行验证,对应SP元数据文件中“AuthnRequestsSigned”值。 CAS3 首页URL 应用首页的URL地址,例:https://xx.xx。 管理员登录URL 可选项,管理员登录应用的URL地址。 退出地址 可选项,应用的退出地址,请以http或https开头,例:https://xxx.xxx.xxx/logout。 (可选)如果需要关联OrgID和自建应用的用户属性,可选择“映射配置”页签,单击“添加映射”,选择关联属性和映射属性,单击“确定”保存映射,单击“测试”,测试映射关系是否成立。 需要修改映射时,可单击操作列的“编辑”进行修改。
  • 应用基本信息配置 登录管理中心。 选择左侧导航栏的“应用管理”。 单击“添加自建应用”。 输入应用名称,如“自建App”。 上传应用图标,图标要求必须为JPG或PNG格式,大小不超过20KB,尺寸240*240px。 选择应用类型,当前仅支持选择“Web”。 设置应用负责人,输入并选择成员姓名,将成员设置为应用负责人。 应用负责人即该应用的应用管理员,只有应用管理员才能更新该应用配置,其他管理员没有操作该应用的权限。 普通成员不能成为应用负责人,需先成为组织管理员、部门管理员才能被设置为应用负责人。 单击“确定”,进入认证集成页面。
  • 开启/关闭认证源 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签,单击待修改的应用操作列的“配置”。 单击“登录配置”,进入“登录配置”页签。 在“认证方式”模块,开启/关闭指定认证源操作列的开关即可。根据开启的认证源类型不同,界面操作不同,具体如下: 开启组织社交认证源(钉钉、企业微信或Welink):开启后,界面提示“保存成功”即成功开启。 开启组织认证源(OAuth、CAS、SAML、OIDC或AD):开启后,需要选择关联的认证源,最多可关联3个,单击“保存”,界面提示“保存成功”即成功开启。 开启后,登录页会新增“其他方式登录”选项,可选择使用该认证源登录应用。 最多可以开启3个认证源,例如可以同时开启钉钉和2个OAuth认证源。
  • 管理中心首页功能介绍 管理中心首页不仅提供了完善组织架构、配置组织应用和探索更多操作的常用功能入口,还展示了组织的统计数据和应用管理的快捷入口,如图1所示。组织创建者或组织管理员可以通过管理中心快速访问所需功能,并了解组织的整体信息。 图1 管理中心首页 具体快捷功能如下: 完善组织架构:可快速访问成员管理页面。 配置组织应用:可快速访问应用管理页面。 查看组织信息:可快速访问组织信息界面。 配置:可快速访问对应应用的配置页面。
  • 用户中心首页介绍 在用户中心首页,您可以查看组织已有权限的全部应用及最近使用应用、查看登录登出日志或退出登录等操作。 图2 用户中心首页 用户中心首页主要包含以下部分: 最近使用:展示您近期使用的应用,可单击应用直接免登录访问应用。 全部应用:展示组织的所有应用,可单击应用直接免登录访问应用。 登录登出日志:展示您的登录登出日志详情,包括时间、操作者、操作类型和IP地址。 账号的下拉菜单:支持退出登录。
  • 登录用户中心 访问OrgID。 输入账号名和密码,单击“登录”。 通过管理员手动添加组织成员的方式创建的账号,首次登录需要设置新密码,如图1所示。设置密码后,下次才可使用账号名密码登录。如忘记密码,请单击登录页面的“忘记密码”,并根据界面提示找回密码。 图1 设置密码 设置的密码需要满足以下规则: 至少8个字符。 至少包含字母和数字,不能包含空格。 阅读并同意“管理式华为账号服务协议”。 登录后进入组织的用户中心首页。
  • 配置认证集成方式 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签,单击待修改的应用操作列的“配置”。 单击“认证集成”,进入“认证集成”页签。 根据选择的认证集成方式不同,需要配置不同的参数,参数说明如表1所示。配置完成后,单击“保存”。 表1 认证集成配置参数说明 认证集成方式 参数名称 参数说明 OAuth2 首页URL 应用首页的URL地址,例:https://xx.xx。 支持设置多个首页的URL地址,可单击“新建URL”,添加新的URL地址。 管理员登录URL 可选项,管理员登录应用的URL地址。 退出地址 可选项,应用的退出地址,请以http或https开头,例:https://xxx.xxx.xxx/logout。 Refresh Token有效期(秒) 允许用户在多久时间内不用重新登录应用的时间。 Access Token有效期(秒) 允许用户在多久时间内保持登录应用的时间。 OIDC 首页URL 应用首页的URL地址,例:https://xx.xx。 管理员登录URL 可选项,管理员登录应用的URL地址。 退出地址 可选项,应用的退出地址,请以http或https开头,例:https://xxx.xxx.xxx/logout。 授权码模式 可选项,是否开启授权码模式,默认开启。 TOKEN签名算法 支持选择:RS256、RS384、RS512。 Access Token有效期(秒) 允许用户在多久时间内保持登录应用的时间。 Refresh Token有效期(秒) 允许用户在多久时间内不用重新登录应用的时间。 SAML SP Entity ID SP唯一标识,对应SP元数据文件中的“Entity ID”的值。 断言消费地址(ACS URL) SP回调地址(断言消费服务地址),对应SP元数据文件中“AssertionConsumerService”的值,即当认证成功后响应返回的值。 Name ID 用户在应用系统中的账号名对应字段,支持选择:邮箱、手机号、用户名、用户ID、账号名。 NameID Format 可选项,SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。支持选择: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:persistent Audience URI 可选项,允许使用SAML断言的资源,默认和SP Entity ID相同。 Single Logout URL 可选项,服务提供商提供会话注销功能,用户在OrgID注销会话后返回绑定的地址。对应SP元数据文件中“SingleLogoutService” 的值。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。 默认Relay State 可选项,使用在IdP发起的认证中,作为默认的一个值。 支持ForceAuth 可选项,如果SP要求重新认证,则强制用户再次认证。 Response签名 可选项,是否对SAML Response使用IdP的证书签名。 断言签名 可选项,断言需使用IdP的证书签名,对应SP元数据文件中“WantAssertionsSigned”值。 数字签名算法 可选项,SAML Response或者断言签名的算法。支持RSA_SHA256、RSA_SHA512、RSA_RIPEMD160,可在下拉框选择。 数字摘要算法 可选项,SAML Response或者断言的数字摘要算法。支持SHA256、SHA512、RIPEMD160,可在下拉框选择。 断言加密 可选项,是否对断言进行加密。 验证请求签名 可选项,是否对SAML Request签名进行验证,对应SP元数据文件中“AuthnRequestsSigned”值。 CAS3 首页URL 应用首页的URL地址,例:https://xx.xx。 管理员登录URL 可选项,管理员登录应用的URL地址。 退出地址 可选项,应用的退出地址,请以http或https开头,例:https://xxx.xxx.xxx/logout。 (可选)如果需要关联OrgID和自建应用的用户属性,可选择“映射配置”页签,单击“添加映射”,选择关联属性和映射属性,单击“确定”保存映射,单击“测试”,测试映射关系是否成立。 需要修改映射时,可单击操作列的“编辑”进行修改。