华为云用户手册

查看事件类型 登录事件网格控制台。 在左侧导航栏选择“事件源”，进入“事件源”页面。 在“云服务事件源”页签，单击待查看事件类型的事件源名称，弹出“查看云服务事件源”对话框。 在“事件类型”区域，查看事件类型和对应的描述信息，如图2所示。 图1 事件类型 单击操作列“查看示例”，可在弹窗查看示例详情，若事件实例如果有多个实例，弹窗里可以查询实例。 图2 查看示例 图3 多个示例 目前只支持云服务事件模型列表中的六个场景，除此以外的点开暂无示例。

云服务事件源列表 事件网格支持的云服务事件源列表如下： 表1 云服务事件源 云应用引擎 CAE 数据库和应用迁移 UGO Classroom 内容审核 Moderation 虚拟私有云 VPC 代码检查 CodeCheck 云数据库 GaussDB NoSQL GaussDB API网关 APIG 数据仓库服务 DWS 部署 CloudDeploy 统一身份认证 IAM 事件网格 EG 华为云 U CS 弹性文件服务 SFS CloudIDE 人脸识别 FRS 微服务引擎 CSE 云专线 DC 数据可视化 DLV NAT网关 NAT 云桌面 Workspace 设备接入服务 IoTDA 分布式消息服务 DMS 知识图谱 KG IoT边缘 IoTEdge 云日志 服务 LTS 编译构建 CloudBuild 对象存储迁移 服务 OMS 云备份服务 CBR 消息&短信服务 MSG SMS 弹性公网IP EIP 云审计 服务 CTS 云搜索服务 CSS 视频分析服务 VAS 数据管理服务 DAS 裸金属服务器 BMS 云测 CloudTest VPC终端节点 VPCEP 云存储 网关服务 CSG 虚拟专用网络 VPN 企业路由器 ER 推荐系统 RES 云服务器备份服务 CSBS 内容分发网络服务 CDN 容器安全服务 CGS 态势感知 SA 代码托管 CodeHub 表格存储服务 CloudTable 云硬盘备份服务 VBS 云速建站 CloudSite 云手机 CPH 云性能测试服务 CPTS 智能边缘云 IEC 函数工作流 服务 FunctionGraph 主机迁移服务 SMS 标签管理服务 TMS 对话机器人服务 CBS 关系型数据库 RDS 云解析服务的Region级 DNS 存储容灾服务 SDRS 语音通话 VoiceCall 应用性能管理 APM 应用编排服务 AOS 数据接入服务 DIS 数据库安全服务 DBSS 慧眼HiLens HiLens 云数据迁移 CDM 多活高可用服务 MAS 流水线 CloudPipeline 图像识别 Image OBS应用事件源 对象存储服务 OBS 智能边缘平台 IEF 容器镜像服务 SWR 分布式缓存服务 DCS 弹性伸缩 AS 漏洞扫描服务 VSS 图引擎服务 GES 数据湖探索 DLI 云容器实例 CCI 需求管理 CodeArts Req 文档数据库服务 DDS 数据复制服务 DRS AI平台ModelArts 分布式数据库 中间件 DDM 消息通知 服务 SMN 应用管理与运维平台 ServiceStage 软件开发生产线 CodeArts 区块链 服务 BCS 应用运维管理 AOM MapReduce服务 MRS 云堡垒机 CBH 企业主机安全 HSS Web应用防火墙 WAF 弹性负载均衡 ELB 云硬盘 EVS 应用与 数据集成平台 ROMA Connect 云容器引擎 CCE 镜像服务 IMS 弹性云服务器 ECS 目前只支持写事件，不支持读事件。

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)或云日志服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。

生成签名 生成签名的方式和APP认证相同，用AK代替APP认证中的AppKey，SK替换APP认证中的AppSecret，即可完成签名和请求。您可使用Java、Go、Python、C#、JavaScript、PHP、C++、C、Android进行签名和访问。 客户端须注意本地时间与时钟服务器的同步，避免请求消息头X-Sdk-Date的值出现较大误差。 API网关（即API管理）除了校验时间格式外，还会校验该时间值与网关收到请求的时间差，如果时间差大于15分钟，API网关将拒绝请求。

生成AK、SK 如果已生成过AK/SK，则可跳过此步骤，找到原来已下载的AK/SK文件，文件名一般为：credentials.csv。 如下图所示，文件包含了租户名（User Name），AK（Access Key Id），SK（Secret Access Key）。 图1 credential.csv文件内容 AK/SK生成步骤： 登录控制台。 将鼠标移至用户名，在下拉列表中单击“我的凭证”。 单击“访问密钥”。 单击“新增访问密钥”，进入“新增访问密钥”页面。 按照界面提示输入验证码或登录密码，单击“确定”，下载密钥，请妥善保管。

使用对象 OrgID使用对象分为超级管理员、组织管理员、部门管理员和普通用户四种，不同对象的操作权限请参见常见操作与系统角色的关系。 超级管理员：是开通OrgID后拥有创建组织权限的用户。创建组织后，自动成为组织创建者，是组织内的超级管理员。 组织管理员：是超级管理员创建组织后在组织管理中心的“权限管理”页面添加为组织管理员的用户。 部门管理员：是超级管理员或组织管理员在组织管理中心的“权限管理”页面添加为部门管理员的用户。 普通用户：指具体使用OrgID的用户，由管理员在管理中心添加或邀请的用户。添加的用户会自动开通管理式华为账号，可登录并访问OrgID用户中心，邀请的用户账号也可以登录并访问OrgID用户中心。

开通与使用流程 租户需要先在华为云开通OrgID服务，才能进一步登录并使用OrgID服务。OrgID的开通与使用流程如图1所示。 图1 开通与使用流程 开通OrgID： 登录华为云OrgID控制台：租户使用个人华为账号登录华为云OrgID控制台，如果没有个人华为账号请先 注册华为账号 并完成实名认证。 创建组织：单击“创建组织”，系统会判断是否是首次创建组织。 首次创建组织：需要申请加入OrgID白名单，加入白名单后阅读并同意服务声明，然后可以开始创建组织。 非首次创建组织：进入OrgID业务面开始创建组织。 使用OrgID： 在华为云OrgID控制台开通OrgID后，才能开始使用OrgID。 个人华为账号直接访问OrgID管理控制台，可以创建组织，并进入组织的管理中心进行组织管理等操作，相关操作请参见管理中心介绍。 登录华为云后可以免登录访问OrgID管理控制台进行组织管理等操作，相关操作请参见管理中心介绍。

使用账号 OrgID使用账号分为个人华为账号、管理式华为账号和第三方认证源账号。 个人华为账号：是由个人在华为集团账号系统申请获得，包括使用终端设备、华为云渠道、消费者应用等获取。该类账号归属于个人，可以通过邀请方式加入组织，也可以自己开通OrgID并创建组织。 管理式华为账号：是由组织的管理员创建生成，该类账号只归属于本组织所有，不可以加入其他组织。 第三方认证源账号：是指登录认证由第三方认证源提供，鉴权认证通过后，将登录OrgID进行后续业务操作，具体支持的认证源及认证操作请参见认证源管理。

创建组织 登录OrgID管理控制台。 单击“创建组织”。 在“创建组织”页面，输入组织名称。 名称由1~60个中文、英文、数字及合法字符组成。 设置组织的 域名 。 域名是指网址 (如www.example.com) 中“www”之后的内容，以及电子邮件地址 （如《用户名》@example.com）中“@”符号之后的内容。 没有域名，可以输入组织简称，使用2~30位字母、数字和.-或它们的组合，如abc，后缀名为固定的.orgid.top，如图1所示。 图1 设置组织域名 已有域名，单击“使用自有域名”，输入自有域名，例如example.com，如图2所示。 图2 使用自有域名 域名设置后管理员为组织创建成员时，成员的管理式华为账号默认带有域名后缀，如设置的组织域名为abc.orgid.top，创建的成员账号为xxx@abc.orgid.top，设置的组织域名为example.com，添加的成员账号为xxx@example.com。 阅读并勾选相关服务协议，然后单击“创建”。 组织创建成功，您可以在控制台继续进行后续的组织管理操作。也可以在华为云OrgID控制台为组织开通联邦认证，开通联邦认证后，授权的用户可以通过联邦认证访问组织的华为云资源。

（可选）同步集成配置 当需要同步应用的数据给第三方系统时，可开启同步集成开关，详细的同步数据请参见联营Kit接口描述联营Kit接口描述。 配置相关参数，参数说明如表2所示。 表2 同步集成配置参数说明 参数名称 参数说明 回调URL 用于同步该应用的数据给其他第三方系统的URL。 签名密钥 用于对回调消息体内容签名。 加密密钥 用于传输ClientSecret的加密公钥。 摘要算法 选择加密算法，如：SHA256或SHA1。 注意： SHA1安全强度不高，不建议使用。

（可选）登录配置 （可选）如果需要获取首页URL或管理员登录地址供其他用户使用，可单击获取。 管理员登录地址为空即表示在5中未配置管理员登录地址。 （可选）如果已进行认证源管理，可选择开启认证源。根据开启的认证源类型不同，界面操作不同，具体如下。 开启组织社交认证源（钉钉、企业微信或Welink）：开启后，界面提示“保存成功”即成功开启。 开启组织认证源（OAuth、CAS、SAML、OIDC或AD）：开启后，需要选择关联的认证源，最多可关联3个，单击“保存”，界面提示“保存成功”即成功开启。 开启后，登录页会新增“其他方式登录”选项，可选择使用该认证源登录应用。 最多可以开启3个认证源，例如可以同时开启钉钉和2个OAuth认证源。

授权管理配置 单击“授权设置”，在“授权设置”界面中选择被授权成员信息，单击“下一步”。 选择可用成员范围，可勾选“全员可用”或“自定义人员范围”，勾选“自定义人员范围”后还需要选择指定的部门与人员或者用户组。单击“确认”。 设置后，应用授权范围中会显示授权部门、授权人员或授权用户组信息。同时，授权用户列表中也会展示授权账号的详细情况（包括姓名、账号名、应用侧角色、来源、更新时间和同步状态），支持按照时间或账号名进行过滤查询。

（可选）访问控制策略配置 当需要控制用户在指定的时间或区域范围内访问应用时，可开启访问控制开关。 配置默认策略。默认策略可选择“允许所有用户访问”或“拒绝所有用户访问”。 默认策略用于访问该应用时无法匹配到应用访问策略的用户。 单击“添加策略”，配置策略参数，参数说明如表3所示。 表3 添加策略参数说明 参数名称 参数说明 策略名称 应用访问策略的名称。 描述 可选项，应用访问策略的描述信息。 访问时间 可选择任意时间、指定星期范围内或指定日期范围内。 区域范围 可选择不限定或指定ip段。 选择指定ip段后，需先添加区域范围，包括设置区域名称、区域网段和描述信息。然后选择已添加的区域范围即可。 访问策略 勾选访问策略。 允许访问：符合设置的访问时间或区域范围的用户允许访问该应用。 拒绝：符合设置的访问时间或区域范围的用户无法访问该应用。 二次验证：符合设置的访问时间或区域范围的用户可以使用手机验证码进行验证，验证通过后即可访问该应用。 策略添加完成后，可单击“是否生效”列的开启策略。开启后可单击“是否生效”列的关闭策略。

认证集成配置 选择认证集成方式：OAuth2、OIDC、SAML、CAS3，选择后不支持修改。 根据选择的认证集成方式不同，需要配置不同的参数，参数说明如表1所示。配置完成后，单击“保存”。 表1 认证集成配置参数说明 认证集成方式 参数名称 参数说明 OAuth2 首页URL 应用首页的URL地址，例：https://xx.xx。 支持设置多个首页的URL地址，可单击“新建URL”，添加新的URL地址。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 Refresh Token有效期（秒） 允许用户在多久时间内不用重新登录应用的时间。 Access Token有效期（秒） 允许用户在多久时间内保持登录应用的时间。 OIDC 首页URL 应用首页的URL地址，例：https://xx.xx。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 授权码模式 可选项，是否开启授权码模式，默认开启。 TOKEN签名算法 支持选择：RS256、RS384、RS512。 Access Token有效期（秒） 允许用户在多久时间内保持登录应用的时间。 Refresh Token有效期（秒） 允许用户在多久时间内不用重新登录应用的时间。 SAML SP Entity ID SP唯一标识，对应SP元数据文件中的“Entity ID”的值。 断言消费地址(ACS URL) SP回调地址（断言消费服务地址），对应SP元数据文件中“AssertionConsumerService”的值，即当认证成功后响应返回的值。 Name ID 用户在应用系统中的账号名对应字段，支持选择：邮箱、手机号、用户名、用户ID、账号名。 NameID Format 可选项，SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。支持选择： urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:persistent Audience URI 可选项，允许使用SAML断言的资源，默认和SP Entity ID相同。 Single Logout URL 可选项，服务提供商提供会话注销功能，用户在OrgID注销会话后返回绑定的地址。对应SP元数据文件中“SingleLogoutService” 的值。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。 默认Relay State 可选项，使用在IdP发起的认证中，作为默认的一个值。 支持ForceAuth 可选项，如果SP要求重新认证，则强制用户再次认证。 Response签名 可选项，是否对SAML Response使用IdP的证书签名。 断言签名 可选项，断言需使用IdP的证书签名，对应SP元数据文件中“WantAssertionsSigned”值。 数字签名算法 可选项，SAML Response或者断言签名的算法。支持RSA_SHA256、RSA_SHA512、RSA_RIPEMD160，可在下拉框选择。 数字摘要算法 可选项，SAML Response或者断言的数字摘要算法。支持SHA256、SHA512、RIPEMD160，可在下拉框选择。 断言加密 可选项，是否对断言进行加密。 验证请求签名 可选项，是否对SAML Request签名进行验证，对应SP元数据文件中“AuthnRequestsSigned”值。 CAS3 首页URL 应用首页的URL地址，例：https://xx.xx。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 （可选）如果需要关联OrgID和自建应用的用户属性，可选择“映射配置”页签，单击“添加映射”，选择关联属性和映射属性，单击“确定”保存映射，单击“测试”，测试映射关系是否成立。 需要修改映射时，可单击操作列的“编辑”进行修改。

应用基本信息配置 登录管理中心。 选择左侧导航栏的“应用管理”。 单击“添加自建应用”。 输入应用名称，如“自建App”。 上传应用图标，图标要求必须为JPG或PNG格式，大小不超过20KB，尺寸240*240px。 选择应用类型，当前仅支持选择“Web”。 设置应用负责人，输入并选择成员姓名，将成员设置为应用负责人。 应用负责人即该应用的应用管理员，只有应用管理员才能更新该应用配置，其他管理员没有操作该应用的权限。 普通成员不能成为应用负责人，需先成为组织管理员、部门管理员才能被设置为应用负责人。 单击“确定”，进入认证集成页面。

开启/关闭认证源 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“登录配置”，进入“登录配置”页签。 在“认证方式”模块，开启/关闭指定认证源操作列的开关即可。根据开启的认证源类型不同，界面操作不同，具体如下： 开启组织社交认证源（钉钉、企业微信或Welink）：开启后，界面提示“保存成功”即成功开启。 开启组织认证源（OAuth、CAS、SAML、OIDC或AD）：开启后，需要选择关联的认证源，最多可关联3个，单击“保存”，界面提示“保存成功”即成功开启。 开启后，登录页会新增“其他方式登录”选项，可选择使用该认证源登录应用。 最多可以开启3个认证源，例如可以同时开启钉钉和2个OAuth认证源。

管理中心首页功能介绍 管理中心首页不仅提供了完善组织架构、配置组织应用和探索更多操作的常用功能入口，还展示了组织的统计数据和应用管理的快捷入口，如图1所示。组织创建者或组织管理员可以通过管理中心快速访问所需功能，并了解组织的整体信息。 图1 管理中心首页 具体快捷功能如下： 完善组织架构：可快速访问成员管理页面。 配置组织应用：可快速访问应用管理页面。 查看组织信息：可快速访问组织信息界面。 配置：可快速访问对应应用的配置页面。

登录用户中心 访问OrgID。 输入账号名和密码，单击“登录”。 通过管理员手动添加组织成员的方式创建的账号，首次登录需要设置新密码，如图1所示。设置密码后，下次才可使用账号名密码登录。如忘记密码，请单击登录页面的“忘记密码”，并根据界面提示找回密码。 图1 设置密码 设置的密码需要满足以下规则： 至少8个字符。 至少包含字母和数字，不能包含空格。 阅读并同意“管理式华为账号服务协议”。 登录后进入组织的用户中心首页。

用户中心首页介绍 在用户中心首页，您可以查看组织已有权限的全部应用及最近使用应用、查看登录登出日志或退出登录等操作。 图2 用户中心首页 用户中心首页主要包含以下部分： 最近使用：展示您近期使用的应用，可单击应用直接免登录访问应用。 全部应用：展示组织的所有应用，可单击应用直接免登录访问应用。 登录登出日志：展示您的登录登出日志详情，包括时间、操作者、操作类型和IP地址。 账号的下拉菜单：支持退出登录。

配置认证集成方式 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“认证集成”，进入“认证集成”页签。 根据选择的认证集成方式不同，需要配置不同的参数，参数说明如表1所示。配置完成后，单击“保存”。 表1 认证集成配置参数说明 认证集成方式 参数名称 参数说明 OAuth2 首页URL 应用首页的URL地址，例：https://xx.xx。 支持设置多个首页的URL地址，可单击“新建URL”，添加新的URL地址。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 Refresh Token有效期（秒） 允许用户在多久时间内不用重新登录应用的时间。 Access Token有效期（秒） 允许用户在多久时间内保持登录应用的时间。 OIDC 首页URL 应用首页的URL地址，例：https://xx.xx。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 授权码模式 可选项，是否开启授权码模式，默认开启。 TOKEN签名算法 支持选择：RS256、RS384、RS512。 Access Token有效期（秒） 允许用户在多久时间内保持登录应用的时间。 Refresh Token有效期（秒） 允许用户在多久时间内不用重新登录应用的时间。 SAML SP Entity ID SP唯一标识，对应SP元数据文件中的“Entity ID”的值。 断言消费地址(ACS URL) SP回调地址（断言消费服务地址），对应SP元数据文件中“AssertionConsumerService”的值，即当认证成功后响应返回的值。 Name ID 用户在应用系统中的账号名对应字段，支持选择：邮箱、手机号、用户名、用户ID、账号名。 NameID Format 可选项，SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。支持选择： urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:persistent Audience URI 可选项，允许使用SAML断言的资源，默认和SP Entity ID相同。 Single Logout URL 可选项，服务提供商提供会话注销功能，用户在OrgID注销会话后返回绑定的地址。对应SP元数据文件中“SingleLogoutService” 的值。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。 默认Relay State 可选项，使用在IdP发起的认证中，作为默认的一个值。 支持ForceAuth 可选项，如果SP要求重新认证，则强制用户再次认证。 Response签名 可选项，是否对SAML Response使用IdP的证书签名。 断言签名 可选项，断言需使用IdP的证书签名，对应SP元数据文件中“WantAssertionsSigned”值。 数字签名算法 可选项，SAML Response或者断言签名的算法。支持RSA_SHA256、RSA_SHA512、RSA_RIPEMD160，可在下拉框选择。 数字摘要算法 可选项，SAML Response或者断言的数字摘要算法。支持SHA256、SHA512、RIPEMD160，可在下拉框选择。 断言加密 可选项，是否对断言进行加密。 验证请求签名 可选项，是否对SAML Request签名进行验证，对应SP元数据文件中“AuthnRequestsSigned”值。 CAS3 首页URL 应用首页的URL地址，例：https://xx.xx。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 （可选）如果需要关联OrgID和自建应用的用户属性，可选择“映射配置”页签，单击“添加映射”，选择关联属性和映射属性，单击“确定”保存映射，单击“测试”，测试映射关系是否成立。 需要修改映射时，可单击操作列的“编辑”进行修改。

更多操作 用户组新建成功后，您还可以进行以下操作。 表1 用户组管理 操作名称 操作步骤 编辑用户组 单击待编辑用户组所在行“操作”列下的“编辑”。 修改用户组信息，单击“确认”。 说明： 仅限普通类型用户组可编辑，联邦认证的安全类型用户组不可编辑。 添加成员 单击待添加成员用户组所在行“操作”列下的“添加成员”。 勾选需要添加的成员，单击“确认”。 删除用户组 单击待删除用户组所在行“操作”列下的“删除”。 单击“确认”。 说明： 仅限普通类型用户组可删除，联邦认证的安全类型用户组不可删除。

配置访问控制策略 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“访问控制”，进入“访问控制”页签。 开启/关闭访问控制开关：在“基础设置”中开启/关闭访问控制开关即可。 开启后需配置默认策略，请参见步骤6。 配置默认策略。默认策略可选择“允许所有用户访问”或“拒绝所有用户访问”。 默认策略用于访问该应用时无法匹配到应用访问策略的用户。 根据所需，修改、新增或删除策略。 修改策略：单击指定策略操作列的“编辑”，修改策略参数，参数说明如表1所示。 新增策略： 单击“添加策略”，配置策略参数，参数说明如表1所示。 表1 添加策略参数说明 参数名称 参数说明 策略名称 应用访问策略的名称。 描述 可选项，应用访问策略的描述信息。 访问时间 可选择任意时间、指定星期范围内或指定日期范围内。 区域范围 可选择不限定或指定ip段。 选择指定ip段后，需先添加区域范围，包括设置区域名称、区域网段和描述信息。然后选择已添加的区域范围即可。 访问策略 勾选访问策略。 允许访问：符合设置的访问时间或区域范围的用户允许访问该应用。 拒绝：符合设置的访问时间或区域范围的用户无法访问该应用。 二次验证：符合设置的访问时间或区域范围的用户可以使用手机验证码进行验证，验证通过后即可访问该应用。 删除策略：单击指定策略操作列的“删除”，单击“确认”。 删除后，该策略的数据将被删除且不可恢复，请谨慎操作。

配置同步集成信息 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“同步集成”，进入“同步集成”页签。 配置相关参数，参数说明如表1所示。 表1 同步集成配置参数说明 参数名称 参数说明 回调URL 用于同步该应用的数据给其他第三方系统的URL。 签名密钥 用于对回调消息体内容签名。 加密密钥 用于传输ClientSecret的加密公钥。 摘要算法 选择加密算法，如：SHA256或SHA1。 注意： SHA1安全强度不高，不建议使用。

更多操作 门户菜单创建完成后，您还可以执行如下表的操作。 表2 相关操作 操作 说明 编辑门户菜单 在门户菜单列表，单击“操作”列的“编辑”。 设置门户菜单权限 在门户菜单列表，单击“操作”列的“权限配置”。 在弹出的对话框中，勾选可以查看该门户菜单的人员，单击“确定”。 说明： 设置权限时，需从右边“已选”区域清除租户名称，否则，其余用户依然有权限访问该门户菜单。 删除门户菜单 在门户菜单列表，单击“操作”列的“删除”。 调整门户菜单排序 单击门户菜单列表上方的“排序”，拖拽菜单上下调整位置，单击“保存”，可以调整多个门户菜单的顺序。

更多操作 门户页面创建完成后，您还可以执行如下表的操作。 表2 相关操作 操作 说明 启用门户页面 在门户页面列表，单击“启用”列的“设为启用”。 门户页面启用后，该门户页面可以在菜单里进行配置。如果需要在菜单里更改某个门户页面，可以选择“编辑”，调换其他已启用的页面。 禁用门户页面 在门户页面列表，单击“启用”列的“设为禁用”。 门户禁用后，该门户无法被关联到菜单、站点。 如果一个门户页面已经被配置到某个菜单中，再将其禁用，此时为保证门户的前台体验，该页面依旧可以被访问。如果要禁用已经配置在菜单中的门户，需要在门户菜单和门户站点移除被关联的门户页面。 预览门户页面 在门户页面列表，单击“操作”列的“预览”，可以对门户页面进行预览。 复制门户页面 在门户页面列表，单击“操作”列的“复制”，将在门户页面列表中生成一个该门户的副本。 编辑门户页面 在门户页面列表，单击“操作”列的“编辑”。 删除门户页面 在门户页面列表，单击“操作”列的“删除”。 说明： 门户页面为禁用状态时，才能被删除。

应用单点登录 新增组织机构、用户成功，即可开始应用单点登录。用户登录之后工业工作台若无门户页面，门户配置请参考管理员配置企业门户。 打开华为工业云平台页面。 图1 华为工业云平台页面 输入账号、密码，进入工业工作台用户界面。 图2 工业工作台用户界面 单击“通用应用”，进入应用界面。 图3 应用界面 单击其中一个应用进行单点登录。 图4 应用单点登录页面 父主题： 应用绑定企业租户后对接工业工作台

请求参数场景说明 租户信息同步接口/租户应用信息同步接口/组织部门信息同步（增量）： 若接口请求参数的“flag”字段删除、修改或新增，服务商需要实现删除、修改或新增租户信息的业务逻辑。自测用例请参见联营License类应用绑定。 租户应用授权信息同步接口： 若接口请求参数的“flag”字段删除或新增，服务商需要实现删除或新增租户信息的业务逻辑。自测用例请参见联营License类应用绑定。 下述两个场景需要用到扩展字段extension功能： ERP类应用，涉及到多账套的需通过扩展字段extension来传账套信息。 非ERP类应用，如果需要同步user扩展字段（如手机号、工号、邮箱等字段），可通过扩展字段来进行扩展传参，ISV端需要提前做好对接逻辑。扩展字段详细操作请参考企业租户将应用授权给下属的用户中的ERP类应用多账套或者扩展字段传参流程。 租户应用授权信息同步时，需要根据用户信息userList中的role参数描述的逻辑进行处理。 role字段有admin、user的区分，测试时与租户手机号相同的用户作为admin角色，其它用户作为user角色： admin：role传到第三方应用下游，该用户在平台进入应用时默认有管理员的权限。 user：role传到第三方应用下游，该用户在平台进入应用时默认有用户的权限。

组织和账号同步说明 组织部门信息同步（增量）/组织部门信息同步（全量）： 组织同步说明： 应用有组织部门 ISV应用中如果每个用户都有单独的组织，即整个租户下的组织是树形结构，每个用户都挂在各自的组织下，则需要做组织的同步。 应用无组织部门 ISV应用中如果每个用户都挂在一个根组织下，即没有组织结构，组织不做对接就可以，同步组织事件做一个“伪通过”即可。 存量组织、账号同步说明： 应用涉及存量组织、账号同步 ISV应用本身有存量的组织、用户，若涉及旧数据迁移到MIW新平台，就需要考虑存量组织、用户同步的场景。 应用不涉及存量组织、账号同步 ISV应用本身无存量的组织、用户，若不涉及旧数据迁移到MIW新平台，就无需考虑存量组织、用户同步的场景。 应用中的存量组织数据迁移，应用程序根据如下流程处理： 应用中的存量用户数据迁移，应用程序根据如下流程处理：

应用对接接口规范 若首次与MIW应用对接，请跳过本章内容，从接入准备工作章节开始查看。 若已与MIW应用对接，请联系华为工程师确认对接接口规范，并按下列步骤进行操作： 对接License接口。 对接License接口前需要完成接入准备工作的操作，对接License接口详细指导请参考对接License接口。 调试License接口。 需要调试的四个License接口：获取License、License续费、License过期和License释放。接口调试详细指导请参考调试License接口。 上架0元测试商品。 上架联营SaaS类0元商品是为了后面进行应用自测使用。上架的详细指导请参考上架联营License类0元测试商品。 在MIW注册中心创建应用模板，绑定测试租户。 对接老MIW同步接口的应用需先创建应用模板，绑定测试租户才能触发同步事件。详细操作见联营License类应用绑定。 输出自测报告。 按测试用例输出对应用例的测试报告，由平台审核。详细指导请参考应用绑定企业租户后对接工业工作台。 父主题： License类商品接入（物理多租）

MIW测试人员审核测试报告 应用对接测试用例自测全部通过之后，联系华为方应用对接人员审核测试报告，从以下三个方面进行审核： 应用新增租户、组织、用户同步事件成功。 应用单点登录正常。 应用对接测试用例执行通过。 审核通过后，SaaS类0元测试商品需进行下架处理。 华为方应用对接人员： 刘勇文 工号：l30039245，联系方式：13570918957 朱凯宏 工号：z30036867，联系方式：17826827694 父主题： 自测指引