华为云用户手册

请求示例 获取自定义身份代理登录票据。 POST https://iam.myhuaweicloud.com/v3.0/OS-AUTH/securitytoken/logintokens { "auth": { "securitytoken": { "access": "LUJHNN4WB569PGAP...", "secret": "7qtrm2cku0XubixiVkBOcvMfpnu7H2mLN...", "id": "gQpjbi1ub3J0a...", "duration_seconds":"600" } } }

响应参数 表5 响应Header参数 参数 参数类型 描述 X-Subject-LoginToken String 签名后的logintoken。 表6 响应Body参数 参数 参数类型 描述 logintoken Object 自定义身份代理登录票据信息。 表7 logintoken 参数 参数类型 描述 domain_id String 账号ID。 expires_at String logintoken的过期时间。 method String 认证方法。当认证用户为华为云用户时，该字段内容为“token”，当认证用户为自定义身份代理用户时，该字段内容为“federation_proxy”。 user_id String 用户ID。 user_name String 用户名。 session_id String 会话ID。 session_user_id String 自定义身份代理用户ID。 说明： 通过委托获取临时访问密钥和securitytoken且请求体中填写session_user.name参数时，会返回该字段。该字段的值即为session_user.name所填写的值。 session_name String 自定义身份代理用户名。 说明： 通过委托获取临时访问密钥和securitytoken且请求体中填写session_user.name参数时，会返回该字段。该字段的值即为session_user.name所填写的值。 assumed_by Object 被委托方用户信息。 说明： 通过委托获取临时访问密钥和securitytoken且请求体中填写session_user.name参数时，会返回该字段。 表8 logintoken.assumed_by 参数 参数类型 描述 user Object 被委托方用户信息。 表9 logintoken.assumed_by.user 参数 参数类型 描述 domain Object 被委托方用户所属账号信息。 name String 被委托方用户名。 password_expires_at String 被委托方用户的密码过期时间。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssssZ，日期和时间戳格式参照ISO-8601，如：2023-06-28T08:56:33.710000Z。 id String 被委托方用户ID。 表10 logintoken.assumed_by.user.domain 参数 参数类型 描述 name String 被委托方用户所属账号名称。 id String 被委托方用户所属账号ID。

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 表2 请求Body参数 参数 是否必选 参数类型 描述 auth 是 Object 认证信息。 表3 auth 参数 是否必选 参数类型 描述 securitytoken 是 Object 认证参数。 表4 auth.securitytoken 参数 是否必选 参数类型 描述 access 是 String AK。 secret 是 String SK。 id 是 String 即临时安全凭证securitytoken。 支持使用自定义身份代理用户或普通用户获取的securitytoken换取logintoken，详情请参见：通过token获取临时访问密钥和securitytoken。 支持委托的方式，但获取securitytoken时，请求体中必须填写session_user.name参数，详情请参见：通过委托获取临时访问密钥和securitytoken。 duration_seconds 否 Integer 自定义身份代理登录票据logintoken的有效时间，时间单位为秒。默认10分钟，即600秒，取值范围10分钟~12小时。 说明： 如果传入的值不在取值范围（10分钟~12小时）内，则取默认值10分钟。 logintoken有效时间为临时安全凭证securitytoken剩余有效时间与duration_seconds传参的最小值。 为避免duration_seconds传参无效，建议设置临时安全凭证securitytoken具有较长的有效期（15分钟~24小时），且duration_seconds传参小于临时安全凭证securitytoken剩余有效时间。 当临时安全凭证securitytoken剩余有效时间小于10分钟时，logintoken的有效时间将取默认值10分钟。

功能介绍 该接口用于获取自定义身份代理登录票据logintoken。logintoken是系统颁发给自定义身份代理用户的登录票据，承载用户的身份、session等信息。调用自定义身份代理URL登录云服务控制台时，可以使用本接口获取的logintoken进行认证。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。 IAM 的Endpoint请参见：地区和终端节点。 自定义身份代理登录票据logintoken默认有效期为10分钟，可设置范围为10分钟~12小时。

响应示例 状态码为 200 时: 请求成功。 { "mapping": { "rules": [ { "local": [ { "user": { "name": "LocalUser" } }, { "group": { "name": "LocalGroup" } } ], "remote": [ { "type": "UserName" }, { "type": "orgPersonType", "not_any_of": [ "Contractor", "Guest" ] } ] } ], "id": "ACME", "links": { "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/mappings/ACME" } } }

响应示例 状态码为 201 时: 创建成功。 { "credential": { "access": "P83EVBZJMXCYTMUII...", "create_time": "2020-01-08T06:25:19.014028Z", "user_id": "07609fb9358010e21f7bc003751...", "description": "IAMDescription", "secret": "TTqAHPbhWorg9ozx8Dv9MUyzYnOKDppxzHt...", "status": "active" } } 状态码为 400 时: 参数无效。（包括密钥数量已达到上限。） { "error": { "message": "akSkNumExceed", "code": 400, "title": "Bad Request", "error_msg": null, "error_code": null } }

请求示例 给IAM用户创建永久访问密钥（用户ID为：07609fb9358010e21f7bc003751c....） POST https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials { "credential": { "description": "IAMDescription", "user_id": "07609fb9358010e21f7bc003751c...." } }

功能介绍 该接口可以用于管理员给IAM用户创建永久访问密钥，或IAM用户给自己创建永久访问密钥。 访问密钥（Access Key ID/Secret Access Key，简称AK/SK），是您通过开发工具（API、CLI、SDK）访问华为云时的身份凭证，不用于登录控制台。系统通过AK识别访问用户的身份，通过SK进行签名验证，通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。在控制台创建访问密钥的方式请参见：访问密钥。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见：地区和终端节点。

响应参数 表4 响应Body参数 参数 参数类型 描述 credential Object 认证结果信息。 表5 credential 参数 参数类型 描述 create_time String 创建访问密钥时间。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssssZ，日期和时间戳格式参照ISO-8601，如：2023-06-28T08:56:33.710000Z。 access String 创建的AK。 secret String 创建的SK。 status String 访问密钥状态。 取值范围： active：启用 inactive：停用 user_id String IAM用户ID。 description String 访问密钥描述信息。

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段填为“application/json;charset=utf8”。 X-Auth-Token 是 String 管理员给IAM用户创建永久访问密钥：请参见授权项。IAM用户给自己创建永久访问密钥：请求体中user_id所对应IAM用户的token（无需特殊权限）。 表2 请求Body参数 参数 是否必选 参数类型 描述 credential 是 Object 认证信息。 表3 credential 参数 是否必选 参数类型 描述 user_id 是 String 待创建访问密钥（AK/SK）的IAM用户ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 description 否 String 访问密钥描述信息。

响应参数 表5 响应Body参数 参数 参数类型 描述 credential Object 认证信息。 表6 credential 参数 参数类型 描述 user_id String IAM用户ID。 access String 修改的AK。 status String 访问密钥状态。 取值范围： active：启用 inactive：停用 create_time String 访问密钥创建时间。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssssZ，日期和时间戳格式参照ISO-8601，如：2023-06-28T08:56:33.710000Z。 description String 访问密钥描述信息。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段填为“application/json;charset=utf8”。 X-Auth-Token 是 String 管理员修改IAM用户的指定永久访问密钥：请参见授权项。 IAM用户修改自己的指定永久访问密钥：URL中access_key所对应IAM用户的token（无需特殊权限）。 表3 请求Body参数 参数 是否必选 参数类型 描述 credential 是 Object 认证信息。 表4 credential 参数 是否必选 参数类型 描述 status 否 String 访问密钥状态。 取值范围： active：启用 inactive：停用 description 否 String 访问密钥描述信息。

请求示例 IAM用户修改自己的指定永久访问密钥状态为“不启用”。 PUT https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials/{access_key} { "credential": { "status": "inactive", "description": "IAMDescription" } }

响应示例 状态码为 200 时: 请求成功。 { "credential": { "status": "inactive", "access": "LOSZM4YRVLKOY9...", "create_time": "2020-01-08T06:26:08.123059Z", "user_id": "07609fb9358010e21f7bc00375..." } }

请求示例 管理员创建一个名为“IAMUser”的IAM用户，用户的邮箱地址是IAMEmail@huawei.com，手机号码是008612345678910，使用默认访问模式，可以编程访问和管理控制台访问。 POST https://iam.myhuaweicloud.com/v3.0/OS-USER/users { "user": { "domain_id": "d78cbac186b744899480f25...", "name": "IAMUser", "password": "IAMPassword@", "email": "IAMEmail@huawei.com", "areacode": "0086", "phone": "12345678910", "enabled": true, "pwd_status": false, "xuser_type": "", "xuser_id": "", "access_mode" : "default", "description": "IAMDescription" } }

响应示例 状态码为 201 时: 创建成功。 { "user": { "pwd_status": false, "xuser_id": "", "xuser_type": "", "access_mode" : "default", "description": "IAMDescription", "name": "IAMUser", "phone": "12345678910", "is_domain_owner": false, "enabled": true, "domain_id": "d78cbac186b744899480f25bd...", "areacode": "0086", "email": "IAMEmail@huawei.com", "create_time": "2020-01-06T08:05:16.000000", "xdomain_id": "", "xdomain_type": "", "id": "07664aec578026691f00c003a...", "status": null, "password_expires_at": null, "default_project_id": null } }

响应参数 表4 响应Body参数 参数 参数类型 描述 user Object IAM用户信息。 表5 user 参数 参数类型 描述 status Integer IAM用户状态信息。 pwd_status Boolean IAM用户首次登录是否重置密码。 xuser_id String IAM用户在外部系统中的ID。 说明： 外部系统指与华为云对接的外部企业管理系统，xaccount_type、xaccount_id、xdomain_type、xdomain_id、xuser_type、xuser_id等参数值，无法在华为云获取，请咨询企业管理员。 xuser_type String 用户在外部系统中的类型。 说明： 外部系统指与华为云对接的外部企业管理系统，xaccount_type、xaccount_id、xdomain_type、xdomain_id、xuser_type、xuser_id等参数值，无法在华为云获取，请咨询企业管理员。 access_mode String IAM用户访问方式。 default：默认访问模式，编程访问和管理控制台访问。 programmatic：编程访问。 console：管理控制台访问。 description String IAM用户描述信息。 name String IAM用户名，长度1~32之间，只能包含如下字符：大小写字母、空格、数字或特殊字符（-_.）且不能以数字或空格开头。 phone String IAM用户手机号，纯数字，长度小于等于32位。必须与国家码同时存在。 is_domain_owner Boolean IAM用户是否为账号管理员。 domain_id String IAM用户所属账号ID。 enabled Boolean 是否启用IAM用户。true为启用，false为停用，默认为true。 areacode String 国家码。中国大陆为“0086”。 email String IAM用户邮箱。 create_time String IAM用户创建时间。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssss，日期和时间戳格式如：2023-06-28T08:56:33.710000。 xdomain_id String 运营主体的客户编码。 xdomain_type String 运营主体。 default_project_id String 用户默认的项目ID。 id String IAM用户ID。长度为32字符。 password_expires_at String 密码过期时间，“null”表示密码不过期。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssss，日期和时间戳格式如：2023-06-28T08:56:33.710000。

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表2 请求Body参数 参数 是否必选 参数类型 描述 user 是 Object IAM用户信息。 表3 user 参数 是否必选 参数类型 描述 name 是 String IAM用户名，长度1~64之间，只能包含如下字符：大小写字母、空格、数字或特殊字符（-_.）且不能以数字或空格开头。 domain_id 是 String IAM用户所属的账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 password 否 String IAM用户密码。 email 否 String IAM用户邮箱，需符合邮箱格式，长度小于等于255位。 areacode 否 String 国家码。必须与手机号同时存在。中国大陆为“0086”。 phone 否 String IAM用户手机号，纯数字，长度小于等于32位。必须与国家码同时存在。 enabled 否 Boolean 是否启用IAM用户。true为启用，false为停用，默认为true。 pwd_status 否 Boolean IAM用户首次登录是否重置密码，默认需要重置。 xuser_type 否 String IAM用户在外部系统中的类型。长度小于等于64位。xuser_type如果存在，则需要与同一租户中的xaccount_type、xdomain_type校验，须与xuser_id同时存在。xuser_type取值当前仅支持TenantIdp。 说明： 外部系统指与华为云对接的外部企业管理系统，xaccount_type、xaccount_id、xdomain_type、xdomain_id、xuser_type、xuser_id等参数值，无法在华为云获取，请咨询企业管理员。 xuser_id 否 String IAM用户在外部系统中的ID。长度小于等于128位，须与xuser_type同时存在。使用API设置外部身份ID后，由于时延IAM控制台暂无法实时显示，请稍后刷新查看。 说明： 外部系统指与华为云对接的外部企业管理系统，xaccount_type、xaccount_id、xdomain_type、xdomain_id、xuser_type、xuser_id等参数值，无法在华为云获取，请咨询企业管理员。 access_mode 否 String IAM用户访问方式。 default：默认访问模式，编程访问和管理控制台访问。 programmatic：编程访问。 console：管理控制台访问。 description 否 String IAM用户描述信息。

响应示例 状态码为 200 时: 请求成功。 { "openid_connect_config" : { "access_mode" : "program_console", "idp_url" : "https://accounts.example.com", "client_id" : "client_id_example", "authorization_endpoint" : "https://accounts.example.com/o/oauth2/v2/auth", "scope" : "openid", "response_type" : "id_token", "response_mode" : "form_post", "signing_key" : "{\"keys\":[{\"kty\":\"RSA\",\"e\":\"AQAB\",\"use\":\"sig\",\"n\":\"example\",\"kid\":\"kid_example\",\"alg\":\"RS256\"}]}" } }

请求示例 修改编程访问配置 PUT /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config { "openid_connect_config" : { "access_mode" : "program", "idp_url" : "https://accounts.example.com", "client_id" : "client_id_example", "signing_key" : "{\"keys\":[{\"kty\":\"RSA\",\"e\":\"AQAB\",\"use\":\"sig\",\"n\":\"example\",\"kid\":\"kid_example\",\"alg\":\"RS256\"}]}" } } 修改编程访问和管理控制台访问配置 PUT /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config { "openid_connect_config" : { "access_mode" : "program_console", "idp_url" : "https://accounts.example.com", "client_id" : "client_id_example", "authorization_endpoint" : "https://accounts.example.com/o/oauth2/v2/auth", "scope" : "openid", "response_type" : "id_token", "response_mode" : "form_post", "signing_key" : "{\"keys\":[{\"kty\":\"RSA\",\"e\":\"AQAB\",\"use\":\"sig\",\"n\":\"example\",\"kid\":\"kid_example\",\"alg\":\"RS256\"}]}" } }

响应参数 状态码为 200 时: 表5 响应Body参数 参数 参数类型 描述 openid_connect_config object OpenID Connect配置详情。 表6 OpenIDConnectConfig 参数 参数类型 描述 access_mode String 访问方式。 program_console: 支持编程访问和管理控制台访问方式。 program: 支持编程访问方式 idp_url String OpenID Connect身份提供商标识，对应ID token中iss字段。 client_id String 在OpenID Connect身份提供商注册的客户端ID。 authorization_endpoint String OpenID Connect身份提供商授权地址。 访问方式为program方式时返回null。 scope String 授权请求信息范围。 访问方式为program方式时返回null。 枚举值： openid email profile 说明： 此字段必选值“openid”。 最少1个值，最多10个值，之间使用空格分割。 例如： "openid" 、"openid email"、 "openid profile"、 "openid email profile"。 response_type String 授权请求返回的类型。 访问方式为program方式时返回null。 枚举值： id_token response_mode String 授权请求返回方式。 访问方式为program方式时返回null。 枚举值： fragment form_post signing_key String OpenID Connect身份提供商ID Token签名的公钥。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 openid_connect_config 是 object OpenID Connect配置详情。 表4 openid_connect_config 参数 是否必选 参数类型 描述 access_mode 否 String 访问方式。 program_console: 支持编程访问和管理控制台访问方式。 program: 支持编程访问方式 idp_url 否 String OpenID Connect身份提供商标识，对应ID token中iss字段。 最小长度：10。最大长度：255。 client_id 否 String 在OpenID Connect身份提供商注册的客户端ID。 最小长度：5。最大长度：255。 authorization_endpoint 否 String OpenID Connect身份提供商授权地址。 访问方式为program_console必选。 最小长度：10。最大长度：255。 scope 否 String 授权请求信息范围。 访问方式为program_console必选。 枚举值： openid email profile 说明： 此字段必选值“openid”。 最少1个值，最多10个值，之间使用空格分割。 例如： "openid" 、"openid email"、 "openid profile"、 "openid email profile"。 response_type 否 String 授权请求返回的类型。 访问方式为program_console必选。 枚举值： id_token response_mode 否 String 授权请求返回方式。 访问方式为program_console必选。 枚举值： fragment form_post signing_key 否 String OpenID Connect身份提供商ID Token签名的公钥。 最小长度：10。最大长度：30000。 格式示例： { "keys":[ { "kid":"d05ef20c4512645vv1..." , "n":"cws_cnjiwsbvweolwn_-vnl...", "e":"AQAB", "kty":"RSA", "use":"sig", "alg":"RS256" } ] }

响应示例 状态码为 200 时: 请求成功。 { "agencies": [ { "create_time": "2020-01-04T03:37:16.000000", "description": "", "domain_id": "d78cbac186b744899480f25b...8", "duration": "FOREVER", "expire_time": null, "id": "0760a9e2a60026664f1fc0031f9f2...", "name": "IAMAgency", "agency_urn": "iam::d78cbac186b744899480f25b...8:agency:IAMAgency", "trust_domain_id": "a2cd82a33fb043dc9304bf72...", "trust_domain_name": "IAMDomainB" } ] }

响应参数 表3 响应Body参数 参数 参数类型 描述 agencies Array of objects 委托信息列表。 表4 agencies 参数 参数类型 描述 create_time String 委托创建时间。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssss，日期和时间戳格式如：2023-06-28T08:56:33.710000。 description String 委托描述信息。 domain_id String 委托方账号ID。 duration String 委托的期限。取值为"FOREVER"或“null”表示委托的期限为永久，取值为"ONEDAY"表示委托的期限为一天。 expire_time String 委托过期时间。“null”表示不过期。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssss，日期和时间戳格式如：2023-06-28T08:56:33.710000。 id String 委托ID。 name String 委托名。 agency_urn String 委托URN。 trust_domain_id String 被委托方账号ID。 trust_domain_name String 被委托方账号名。

URI GET /v3.0/OS-AGENCY/agencies 表1 Query参数 参数 是否必选 参数类型 描述 domain_id 是 String 委托方账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 说明： X-Auth-Token字段填写拥有策略权限的token时，domain_id非必选。 name 否 String 委托名，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 trust_domain_id 否 String 被委托方账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 page 否 Integer 分页查询时数据的页数，查询值最小为1。需要与per_page同时存在。 per_page 否 Integer 分页查询时每页的数据个数，取值范围为[1,500]。需要与page同时存在。

AK/SK认证 AK/SK签名认证方式仅支持消息体大小12M以内，12M以上的请求请使用Token认证。 AK/SK签名认证方式可以避免因缓存的Token失效导致的API调用失败的问题。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见：API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

Token认证 Token的有效期为24小时，需要使用同一个Token鉴权时，可以缓存起来，避免频繁调用。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。 Token可通过调用获取IAM用户Token（使用密码）接口获取，调用本服务API需要全局级别的Token，即调用获取IAM用户Token（使用密码）接口时，请求body中auth.scope的取值需要选择domain，如下所示。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "domain": { "name": "IAMDomain" }, "name": "IAMUser", "password": "IAMPassword" } } }, "scope": { "domain": { "name": "IAMDomain" } } } } 获取Token 后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为获取到的Token。例如Token值为“ABCDEFJ....”，则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可，如下所示。 GET https://iam.cn-north-1.myhuaweicloud.com/v3/auth/projects Content-Type: application/json X-Auth-Token: ABCDEFJ....

请求示例 更新映射。 PATCH https://iam.myhuaweicloud.com/v3/OS-FEDERATION/mappings/{id} { "mapping": { "rules": [ { "local": [ { "user": { "name": "LocalUser" } }, { "group": { "name": "LocalGroup" } } ], "remote": [ { "type": "UserName" }, { "type": "orgPersonType", "not_any_of": [ "Contractor", "Guest" ] } ] } ] } }

响应示例 状态码为 200 时: 请求成功。 { "mapping": { "rules": [ { "local": [ { "user": { "name": "LocalUser" } }, { "group": { "name": "LocalGroup" } } ], "remote": [ { "type": "UserName" }, { "type": "orgPersonType", "not_any_of": [ "Contractor", "Guest" ] } ] } ], "id": "ACME", "links": { "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/mappings/ACME" } } }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 mapping 是 Object 映射信息。 表4 mapping 参数 是否必选 参数类型 描述 rules 是 Array of objects 将联邦用户映射为本地用户的规则列表。 表5 mapping.rules 参数 是否必选 参数类型 描述 local 是 Array of RulesLocal objects 表示联邦用户在本系统中的用户信息。 user:联邦用户在本系统中的用户名称。group:联邦用户在本系统中所属用户组。 remote 是 Array of objects 表示联邦用户在IdP中的用户信息。使用SAML协议时，由断言属性及运算符组成的表达式，取值由断言决定。使用OIDC协议时，取值由ID token决定。 表6 mappings.rules.local 参数 是否必选 参数类型 描述 user 否 user object 联邦用户在本系统中的用户名称 group 否 group object 联邦用户在本系统中所属用户组 表7 mappings.rules.local.user 名称 是否必选 类型 描述 name 是 String 联邦用户在本系统中的用户名称 表8 mappings.rules.local.group 名称 是否必选 类型 描述 name 是 String 联邦用户在本系统中所属用户组 表9 mapping.rules.remote 参数 是否必选 参数类型 描述 type 是 String 表示IdP断言中的属性。 any_one_of 否 Array of strings 输入属性值中包含指定值才生效，并返回布尔值，返回值不能用于local块中的占位符。在同一个remote数组元素中，any_one_of与not_any_of互斥，两者至多填写一个，不能同时填写。 not_any_of 否 Array of strings 输入属性值中不包含指定值才生效，并返回布尔值，返回值不能用于local块中的占位符。not_any_of与any_one_of互斥，两者至多填写一个，不能同时填写。