华为云用户手册

响应示例 状态码为 201 时: 创建成功。 示例 1 { "openid_connect_config" : { "access_mode" : "program", "idp_url" : "https://accounts.example.com", "client_id" : "client_id_example", "signing_key" : "{\"keys\":[{\"kty\":\"RSA\",\"e\":\"AQAB\",\"use\":\"sig\",\"n\":\"example\",\"kid\":\"kid_example\",\"alg\":\"RS256\"}]}" } } 示例 2 { "openid_connect_config" : { "access_mode" : "program_console", "idp_url" : "https://accounts.example.com", "client_id" : "client_id_example", "authorization_endpoint" : "https://accounts.example.com/o/oauth2/v2/auth", "scope" : "openid", "response_type" : "id_token", "response_mode" : "form_post", "signing_key" : "{\"keys\":[{\"kty\":\"RSA\",\"e\":\"AQAB\",\"use\":\"sig\",\"n\":\"example\",\"kid\":\"kid_example\",\"alg\":\"RS256\"}]}" } }

响应参数 状态码为 201 时: 表5 响应Body参数 参数 参数类型 描述 openid_connect_config object OpenID Connect配置详情。 表6 openid_connect_config 参数 参数类型 描述 access_mode String 访问方式。 program_console: 支持编程访问和管理控制台访问方式。 program: 支持编程访问方式。 idp_url String OpenID Connect身份提供商标识。对应ID token中iss字段。 client_id String 在OpenID Connect身份提供商注册的客户端ID。 authorization_endpoint String OpenID Connect身份提供商授权地址。 访问方式为program方式时返回null。 scope String 授权请求信息范围。 访问方式为program方式时返回null。 枚举值： openid email profile 说明： 此字段必选值“openid”。 最少1个值，最多10个值，之间使用空格分割。 例如： "openid" 、"openid email"、 "openid profile"、 "openid email profile"。 response_type String 授权请求返回的类型。 访问方式为program方式时返回null。 枚举值： id_token response_mode String 授权请求返回方式。 访问方式为program方式时返回null。 枚举值： fragment form_post signing_key String OpenID Connect身份提供商ID Token签名的公钥。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 openid_connect_config 是 object OpenID Connect配置详情。 表4 CreateOpenIDConnectConfig 参数 是否必选 参数类型 描述 access_mode 是 String 访问方式。 program_console: 支持编程访问和管理控制台访问方式。 program: 支持编程访问方式 idp_url 是 String OpenID Connect身份提供商标识，对应ID token中iss字段。 最小长度：10。最大长度：255。 client_id 是 String 在OpenID Connect身份提供商注册的客户端ID。 最小长度：5。最大长度：255。 authorization_endpoint 否 String OpenID Connect身份提供商授权地址。 访问方式为program_console必选。 最小长度：10。最大长度：255。 scope 否 String 授权请求信息范围。 访问方式为program_console必选。 枚举值： openid email profile 说明： 此字段必选值“openid”。 最少1个值，最多10个值，之间使用空格分割。 例如： "openid" 、"openid email"、 "openid profile"、 "openid email profile"。 response_type 否 String 授权请求返回的类型。 访问方式为program_console必选。 枚举值： id_token response_mode 否 String 授权请求返回方式。 访问方式为program_console必选。 枚举值： fragment form_post signing_key 是 String OpenID Connect身份提供商ID Token签名的公钥。 最小长度：10。最大长度：30000。 格式示例： { "keys":[ { "kid":"d05ef20c4512645vv1..." , "n":"cws_cnjiwsbvweolwn_-vnl...", "e":"AQAB", "kty":"RSA", "use":"sig", "alg":"RS256" } ] }

请求示例 修改SAML身份提供商为不启用。 PATCH https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/{id} { "identity_provider": { "description": "Stores ACME identities.", "enabled": false } }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 identity_provider 是 Object 身份提供商信息。 表4 identity_provider 参数 是否必选 参数类型 描述 description 否 String 身份提供商描述信息。 enabled 否 Boolean 身份提供商是否启用，true为启用，false为停用，默认为false。

响应示例 状态码为 200 时: 请求成功。 { "identity_provider": { "remote_ids": [], "enabled": false, "id": "ACME", "sso_type": "iam_user_sso", "links": { "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME", "protocols": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME/protocols" }, "description": "Stores ACME identities." } }

响应示例 状态码为 201 时: 请求成功。 { "identity_provider": { "remote_ids": [], "enabled": true, "id": "ACME", "sso_type": "iam_user_sso", "links": { "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME", "protocols": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME/protocols" }, "description": "Stores ACME identities." } }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 identity_provider 是 Object 身份提供商信息。 表4 identity_provider 参数 是否必选 参数类型 描述 sso_type 否 String 身份提供商类型。当前支持如下两种： virtual_user_sso：联邦登录跳转后映射为虚拟用户。 iam_user_sso：联邦登录跳转后映射为实际存在的 IAM 用户。如果选择该类型，请确保您已在华为云创建IAM用户。 默认配置为virtual_user_sso类型，同一个账号下两种类型不能同时存在，且iam_user_sso最多只能创建一个。 description 否 String 身份提供商描述信息。 enabled 否 Boolean 身份提供商是否启用，true为启用，false为停用，默认为false。

请求示例 创建身份提供商并且启用。 PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/{id} { "identity_provider": { "sso_type": "iam_user_sso", "description": "Stores ACME identities.", "enabled": true } }

响应示例 状态码为 200 时: 请求成功。 { "identity_provider": { "remote_ids": [], "enabled": true, "id": "ACME", "sso_type": "iam_user_sso", "links": { "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME", "protocols": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME/protocols" }, "description": "Stores ACME identities." } }

响应参数 表3 响应Body参数 参数 参数类型 描述 identity_provider Object 身份提供商信息。 表4 identity_provider 参数 参数类型 描述 sso_type String 身份提供商类型。当前支持如下两种： virtual_user_sso：联邦登录跳转后映射为虚拟用户。 iam_user_sso：联邦登录跳转后映射为实际存在的IAM用户。 默认配置为virtual_user_sso类型。 id String 身份提供商ID。 description String 身份提供商描述信息。 enabled Boolean 身份提供商是否启用，true为启用，false为停用，默认为false。 remote_ids Array of strings 身份提供商的联邦用户ID列表。 links Object 身份提供商的资源链接信息。 表5 identity_provider.links 参数 参数类型 描述 self String 身份提供商的资源链接地址。 protocols String 协议的资源链接地址。

响应示例 状态码为 200 时: 请求成功。 { "links": { "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers", "previous": null, "next": null }, "identity_providers": [ { "remote_ids": [], "enabled": true, "id": "ACME", "sso_type": "iam_user_sso", "links": { "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME", "protocols": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME/protocols" }, "description": "Stores ACME identities." } ] }

响应参数 表2 响应Body参数 参数 参数类型 描述 identity_providers Array of objects 身份提供商信息列表。 links Object 资源链接信息。 表3 identity_providers 参数 参数类型 描述 sso_type String 身份提供商类型。当前支持如下两种： virtual_user_sso：联邦登录跳转后映射为虚拟用户。 iam_user_sso：联邦登录跳转后映射为实际存在的IAM用户。 默认配置为virtual_user_sso类型。 id String 身份提供商ID。 description String 身份提供商描述信息。 enabled Boolean 身份提供商是否启用，true为启用，false为停用，默认为false。 remote_ids Array of strings 身份提供商的联邦用户ID列表。 links Object 身份提供商的资源链接信息。 表4 identity_providers.links 参数 参数类型 描述 self String 身份提供商的资源链接地址。 protocols String 协议的资源链接地址。 表5 links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址，不存在时为null。 next String 后一邻接资源链接地址，不存在时为null。

URI DELETE /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/{role_id}/inherited_to_projects 表1 路径参数 参数 是否必选 参数类型 描述 agency_id 是 String 委托ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 domain_id 是 String 委托方的账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 role_id 是 String 权限ID，获取方式请参见：获取权限ID。

URI HEAD /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/{role_id}/inherited_to_projects 表1 路径参数 参数 是否必选 参数类型 描述 agency_id 是 String 委托ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 domain_id 是 String 委托方的账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 role_id 是 String 权限ID，获取方式请参见：获取权限ID。

URI PUT /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/{role_id}/inherited_to_projects 表1 路径参数 参数 是否必选 参数类型 描述 agency_id 是 String 委托ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 domain_id 是 String 委托方的账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 role_id 是 String 权限ID，获取方式请参见：获取权限ID。

响应示例 状态码为 200 时: 查询成功 { "roles" : [ { "name" : "system_all_154", "links" : { "self" : "https://internal.iam.ctcclouddev.com/v3/roles/04570dfe267c45a3940e1ae9de868..." }, "id" : "04570dfe267c45a3940e1ae9de868..." }, { "name" : "test1_admin", "links" : { "self" : "https://internal.iam.ctcclouddev.com/v3/roles/1bf20f1adba94747a6e02e1be3810..." }, "id" : "1bf20f1adba94747a6e02e1be3810..." } ], "links" : { "self" : "https://internal.iam.ctcclouddev.com/v3.0/OSHERIT/domains/05b09b4723001dc90f27c0008f8b1.../agencies/08c6652e86801d234f01c00078308.../roles/inherited_to_projects" } }

URI GET /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/inherited_to_projects 表1 路径参数 参数 是否必选 参数类型 描述 agency_id 是 String 委托ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 domain_id 是 String 委托方账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。

URI DELETE /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles/{role_id} 表1 路径参数 参数 是否必选 参数类型 描述 agency_id 是 String 委托ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 project_id 是 String 委托方的项目ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 role_id 是 String 项目服务权限ID，获取方式请参见：获取权限ID。

URI DELETE /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles/{role_id} 表1 路径参数 参数 是否必选 参数类型 描述 agency_id 是 String 委托ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 domain_id 是 String 委托方账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 role_id 是 String 全局服务权限ID，获取方式请参见：获取权限ID。

URI HEAD /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles/{role_id} 表1 路径参数 参数 是否必选 参数类型 描述 agency_id 是 String 委托ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 project_id 是 String 委托方的项目ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 role_id 是 String 项目服务权限ID，获取方式请参见：获取权限ID。

URI HEAD /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles/{role_id} 表1 路径参数 参数 是否必选 参数类型 描述 agency_id 是 String 委托ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 domain_id 是 String 委托方账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 role_id 是 String 全局服务权限ID。获取方式请参见：获取权限ID。

URI PUT /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles/{role_id} 表1 路径参数 参数 是否必选 参数类型 描述 agency_id 是 String 委托ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 project_id 是 String 委托方的项目ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 role_id 是 String 项目服务权限ID，获取方式请参见：获取权限ID。

URI PUT /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles/{role_id} 表1 路径参数 参数 是否必选 参数类型 描述 agency_id 是 String 委托ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 domain_id 是 String 委托方账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 role_id 是 String 全局服务权限ID，获取方式请参见：获取权限ID。

URI GET /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles 表1 路径参数 参数 是否必选 参数类型 描述 agency_id 是 String 委托ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 project_id 是 String 委托方的项目ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。

响应示例 状态码为 200 时: 请求成功。 { "roles": [ { "domain_id": null, "flag": "fine_grained", "description_cn": " 应用运维管理 服务只读权限", "catalog": " AOM ", "name": "system_all_30", "description": "AOM read only", "id": "75cfe22af2b3498d82b655fbb39de498", "display_name": "AOM Viewer", "type": "XA", "policy": { "Version": "1.1", "Statement": [ { "Action": [ "aom:*:list", "aom:*:get", "apm:*:list", "apm:*:get" ], "Effect": "Allow" } ] } } ] }

URI GET /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles 表1 路径参数 参数 是否必选 参数类型 描述 agency_id 是 String 委托ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 domain_id 是 String 委托方账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。

响应示例 状态码为 200 时: 请求成功。 { "roles": [ { "flag": "fine_grained", "display_name": "CDN Domain Viewer", "description": "Allow Query Domains", "name": "system_all_11", "policy": { "Version": "1.1", "Statement": [ { "Action": [ "cdn:configuration:queryDomains", "cdn:configuration:queryOriginServerInfo", "cdn:configuration:queryOriginConfInfo", "cdn:configuration:queryHttpsConf", "cdn:configuration:queryCacheRule", "cdn:configuration:queryReferConf", "cdn:configuration:queryChargeMode", "cdn:configuration:queryCacheHistoryTask", "cdn:configuration:queryIpAcl", "cdn:configuration:queryResponseHeaderList" ], "Effect": "Allow" } ] }, "description_cn": "查询 域名 信息", "domain_id": null, "type": "AX", "catalog": "CDN", "id": "db4259cce0ce47c9903dfdc195eb453b" } ] }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 agency 是 object 委托信息。 表4 agency 参数 是否必选 参数类型 描述 trust_domain_id 否 String 被委托方账号ID。如果trust_domain_id和trust_domain_name都填写，则优先校验trust_domain_name。四个参数至少填写一个。 trust_domain_name 否 String 被委托方账号名。如果trust_domain_id和trust_domain_name都填写，则优先校验trust_domain_name。四个参数至少填写一个。 description 否 String 委托描述信息，长度不大于255位。四个参数至少填写一个。 duration 否 object 委托的期限，单位为“天”。四个参数至少填写一个。 取值范围： FOREVER：表示委托的期限为永久。 ONEDAY：表示委托的期限为一天。 自定义天数：表示委托的期限为有限天数，如20。

请求示例 修改委托的有效时间为1天。 PUT https://iam.myhuaweicloud.com/v3.0/OS-AGENCY/agencies/{agency_id} { "agency": { "trust_domain_id": "b2cd82a33fb043dc9304bf72...", "trust_domain_name": "IAMDomainB", "description": "IAMDescription", "duration": "ONEDAY" } }