云服务器内容精选
-
约束与限制 OrgID系统存在如下约束: OrgID默认认证源是华为账号,其账号分为个人账号和管理式账号。管理式账号由管理员创建,只能归属于本组织,登录时只能使用账号名登录,不能使用手机号或者邮箱地址登录。 华为账号最多可以创建5个组织,可以申请组织配额,每次申请增加一个组织配额。 每个组织支持管理3个 域名 。 单个组织默认可以有200个成员,可以申请组织成员配额,每次申请增加100个成员配额,最大成员数不超过5000。 部门最大层级不超过5级,一个组织最多可以有999个部门。 OrgID当前只支持公有云,不支持H CS ,伙伴云。 负责业务应用系统的统一认证,但应用的会话(与客户端的会话Session保持)不在OrgID管理范围。
-
权限管理 OrgID系统提供权限管理,主要分为四种角色:超级管理员、组织管理员、部门管理员、普通用户。而OrgID云服务开通的相关权限受华为云 IAM 控制, IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》。 表1列出了OrgID常用操作与系统角色的关系,您可以通过该表了解系统角色的操作权限。 表1 常用操作与系统角色的关系 操作 超级管理员 组织管理员 部门管理员 普通用户 创建组织 √ × × × 查看组织 √ √ √ × 修改组织信息 √ √ × × 申请配额 √ √ × × 添加域名 √ √ × × 验证域名 √ √ × × 移交组织 √ × × × 解散组织 √ × × × 创建部门 √ √ √ × 编辑部门 √ √ √ × 删除部门 √ √ √ × 查看部门 √ √ √ × 创建成员 √ √ √ × 邀请成员 √ √ √ × 批量导入成员 √ √ √ × 重置成员密码 √ √ √ × 冻结、解冻成员 √ √ √ × 移除成员 √ √ √ × 创建用户组 √ √ × × 编辑用户组 √ √ × × 删除用户组 √ √ × × 查看三方认证用户 √ √ × × 创建应用 √ √ √ × 配置应用 √ √ √ × 删除应用 √ √ √ × 查看应用 √ √ √ × 新增认证源 √ √ × × 更新认证源 √ √ × × 删除认证源 √ √ × × 查看认证源 √ √ × × 添加区域范围 √ √ × × 编辑区域范围 √ √ × × 删除区域范围 √ √ × × 查看区域范围 √ √ × × 查看登录登出日志 √ √ √(只能查看自己的登录登出日志) √(只能查看自己的登录登出日志) 查看管理操作日志 √ √ × × 查看数据报表 √ √ × × 导出数据报表 √ √ × × 修改审批状态 √ √ × × 查看角色 √ √ × × 创建角色 √ √ × × 添加角色成员 √ √ × × 添加用户属性配置 √ √ × × 修改用户属性配置 √ √ × ×
-
数据保护技术 通过数据保护手段,保障租户数据可靠性。 表1 数据保护手段 数据保护手段 简要说明 传输加密(HTTPS) 外部接口支持HTTPS传输协议,保障数据传输的安全性。 服务端加密 涉及个人数据处理,包括:姓名、手机号码、邮箱等。这些数据在 企业工作台 内加密存储,避免个人数据的泄露。 数据容灾保护 租户内的数据,包括RDS(Relational Database Service)、DCS(Distributed Cache Service),启用了定时备份机制,定时全量备份(默认每天)与增量备份(默认5分钟)。 同时,RDS、DCS启用了双AZ(Availability Zone)容灾,当一个AZ异常后,可以无缝切换到另一个AZ上继续使用。 父主题: 安全
-
身份认证与访问控制 身份认证 OrgID提供的身份认证可以分为控制台和云服务两个层面。 控制台层面:OrgID与IAM打通,企业租户可以使用华为云用户名与密码登录,实现租户的认证与鉴权,未授权的不能访问。 数据业务面:租户管理员添加成员后,成员可以直接登录OrgID数据业务面,使用Huawei ID账号认证,业务鉴权由OrgID提供。 访问控制 Token认证:通过Token认证通用请求。关于Token的详细介绍及获取方式,请参见获取IAM用户Token(使用密码)。 AK(Access Key ID)/SK(Secret Access Key)认证:通过AK/SK加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。关于访问密钥的详细介绍及获取方式,请参见访问密钥(AK/SK)。 父主题: 安全
-
产品优势 OrgID优势包括终端云积累的用户、华为云高质量的服务体验和政企市场的生态伙伴能力,利用行业aPaaS(基地模式)推广,协同 开天aPaaS ,来解决企业用户注册、登录体验和企业内应用账号不统一的痛点问题。 基于终端云庞大的Huawei ID的基础,使用Huawei ID认证解决企业用户认证及注册体验的问题。 解决企业存在多种认证源,如企业社交认证源、联邦认证源等。 内部面向企业的云服务预集成OrgID,如企业工作台。实现Huawei ID与华为云账号的打通,便于企业与华为云市场的集成,实现企业内应用订购。
-
步骤二:登录OrgID 成员访问OrgID。 输入管理式华为账号的账号名和密码。管理式华为账号登录仅支持输入账号名(xxxx@域名),首次登录需修改密码。 单击“登录”。成功登录后,根据账号的权限不同,界面的呈现和可执行的操作不同,具体如下: 组织管理员:登录后显示用户中心,可切换至组织的管理中心,除不能进行创建组织和解散组织的操作外,其余权限与组织创建者一致。 部门管理员:登录后显示用户中心,可切换至组织的管理中心,拥有查看组织信息、管理成员部门、管理应用的操作权限。 普通用户:登录后只能访问组织的用户中心,具体请参见用户中心介绍。
-
总体开发思路 应用对接OrgID登录功能的工作流程如下: 开通OrgID并创建组织 开通OrgID并创建组织,以组织为单位对组织的成员、成员账号及应用进行管理。 添加部门及成员 通过添加部门,完善组织架构;通过创建成员添加只属于该组织的成员,也可以邀请成员,将已拥有个人华为账号的成员添加进组织。 创建并授权应用 添加自建应用并为成员授权。 应用侧登录对接OrgID 在应用侧使用接口对接OrgID登录功能。
-
响应示例 状态码: 200 正常响应。 { "tenant_name": "801test", "role": "admin", "user_id": "1008600000169057387", "user_name": "hid_u_-9utkbz24lphe", "name": "138******37", "mobile": "008613800000037", "tenant": "9190086000000010904", "employee_code": "00001" }
-
响应参数 状态码: 200 表2 响应Body参数 参数 参数类型 描述 tenant_name String 租户名称。 tenant String 租户code,即企业code。 name String 用户名。 mobile String 手机号。 user_name String 用户登录账号。 user_id String 用户外部id。 employee_code String 成员工号。 role String 角色,枚举:user或admin。 状态码: 400 表3 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 error String 错误码(兼容原开放接口字段)。 error_description String 错误描述(兼容原开放接口字段)。 状态码: 401 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 error String 错误码(兼容原开放接口字段)。 error_description String 错误描述(兼容原开放接口字段)。 状态码: 500 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 error String 错误码(兼容原开放接口字段)。 error_description String 错误描述(兼容原开放接口字段)。
-
请求方法 HTTP请求方法(也称为操作或动词),它告诉服务您正在请求什么类型的操作。 表2 HTTP方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源,如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的时候,PATCH可能会去创建一个新的资源。 在获取Access Token的URI部分,您可以看到其请求方法为“POST”,则其请求为: POST https://orgid.huaweiapaas.cn/orgid/openapi/v1/oauth2/token
-
请求URI 请求URI由如下部分组成: {URI-scheme}://{domain_name}/{resource-path}?{query-string} 尽管请求URI包含在请求消息头中,但大多数语言或框架都要求您从请求消息中单独传递它,所以在此单独强调。 表1 请求URI 参数 说明 URI-scheme 表示用于传输请求的协议,当前所有API均采用HTTPS协议。 domain_name 使用OrgID的公网访问域名,OrgID的公网访问域名为“orgid.huaweiapaas.cn”。 resource-path 资源路径,也即API访问路径。从具体API的URI模块获取,例如“获取Access Token”API的resource-path为“/orgid/openapi/v1/oauth2/token”,其中“/orgid/openapi”可省略。 query-string 查询参数,是可选部分,并不是每个API都有查询参数。查询参数前面需要带一个“?”,形式为“参数名=参数取值”,例如“?limit=10”,表示查询不超过10条数据。 例如您需要获取用户访问OrgID的Access Token,则需使用OrgID的公网访问域名(orgid.huaweiapaas.cn),并在获取Access Token的URI部分找到resource-path(/orgid/openapi/v1/oauth2/token),拼接起来如下所示。 https://orgid.huaweiapaas.cn/orgid/openapi/v1/oauth2/token 图1 URI示意图 为查看方便,在每个具体API的URI部分,只给出resource-path部分,并将请求方法写在一起。这是因为URI-scheme都是HTTPS,而domain_name在同一个区域也相同,所以简洁起见将这两部分省略。
-
请求消息头 附加请求头字段,如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”,请求鉴权信息等。 需要添加到请求中的公共消息头如表3所示。 表3 公共请求消息头 参数名 说明 是否必选 示例 Content-type 消息体的类型(格式),默认取值为“application/x-www-form-urlencoded”。 是 application/x-www-form-urlencoded 对于获取Access Token接口,由于不需要认证,所以只添加“Content-Type”即可,添加消息头后的请求如下所示。 POST https://orgid.huaweiapaas.cn/orgid/openapi/v1/oauth2/token Content-Type: application/x-www-form-urlencoded
-
请求消息体 请求消息体通常以结构化格式发出,与请求消息头中Content-type对应,传递除请求消息头之外的内容。若请求消息体中参数支持中文,则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同,也并不是每个接口都需要有请求消息体(或者说消息体为空),GET、DELETE操作类型的接口就不需要消息体,消息体具体内容需要根据具体接口而定。 对于获取Access Token接口,您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示,加粗的斜体字段需要根据实际值填写,client_id为创建应用后OrgID提供的client_id,client_secret为创建应用后OrgID提供的client_secret,redirect_uri为创建自建应用时配置的首页URL,code为OrgID给用户颁发的code,可以在创建应用后应用的“登录配置”页面该应用的首页URL中获取。 POST https://orgid.huaweiapaas.cn/orgid/openapi/v1/oauth2/token Content-Type: application/x-www-form-urlencoded { grant_type:authorization_code client_id:client_id client_secret:client_secret redirect_uri:redirect_uri code:code } 到这里为止这个请求需要的内容就具备齐全了,您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取Access Token接口,返回的响应消息体中“access_token”就是需要获取的Access Token。有了Token之后,您就可以使用Token认证调用其他API。
-
错误码 当您调用API时,如果遇到“APIGW”开头的错误码,请参见API网关错误码进行处理。 状态码 错误码 错误信息 描述 处理措施 400 无 Bad Request url clientId clientSecret错误。 检查调用参数或者联系运营开发人员定位。 401 OrgID.OAUTH.4000 Unauthorized 不合法的token。 检查是否正确的获取token或者重新生成token。 401 OrgID.OAUTH.4001 Unauthorized token过期。 重新生成token。 401 OrgID.OAUTH.4006 Unauthorized 非用户级token。 使用用户级token,不要使用应用级token。 父主题: 附录
-
响应消息体 该部分可选。响应消息体通常以结构化格式(如JSON或XML)返回,与响应消息头中Content-Type对应,传递除响应消息头之外的内容。 对于获取Access Token接口,返回如下消息体。 { "access_token": "3AkJTad*****************************0P6JBHQX8ipoG", "refresh_token": "Bd0k_ek*******************BPVBTGLlMjb-vyjHu0nZYx", "scope": "phone profile email", "token_type": "Bearer", "expires_in": 7200 } 当接口调用出错时,会返回错误码及错误信息说明,错误响应的Body体格式如下所示。 { "error_code": "AS.0001", "error_msg": "The format of message is error" } 其中,error_code或error表示错误码,error_msg或error_description表示错误描述信息。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
