华为云用户手册

请求URI OneAccess 请求URI由如下部分组成。 {URI-scheme} :// {domain_name} / {resource-path} ? {query-string} 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 表1 URI中的参数说明 参数 描述 URI-scheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 domain_name 使用OneAccess服务API需要使用用户访问 域名 ，获取方法请参见获取用户访问域名。 resource-path 资源路径，也即API访问路径。从具体API的URI模块获取，例如“获取用户Token”API的resource-path为“api/v1/oauth2/token”。 query-string 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“？”，形式为“参数名=参数取值”，例如“limit=10”，表示查询不超过10条数据。 例如您需要获取用户访问域名为“abcdefg.huaweioneaccess.com”的实例Access Token，则需使用用户访问域名“abcdefg.huaweioneaccess.com”，并在获取Access Token的URI部分找到resource-path（ /api/v1/oauth2/token），拼接起来如下所示。 https://abcdefg.huaweioneaccess.com/api/v1/oauth2/token 图1 URI示意图 为查看方便，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，而domain_name在同一个实例也相同，所以简洁起见将这两部分省略。

请求消息体（可选） 该部分可选。请求消息体通常以结构化格式（如JSON或XML）发出，与请求消息头中Content-Type对应，传递除请求消息头之外的内容。若请求消息体中的参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于获取Access Token接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中domain_name为用户访问域名，*******为认证登录后回调获取的授权码，ClientId为注册应用后分配的接口认证凭证ID，ClientSecret为注册应用后分配的接口认证凭证密钥，https://example.com为注册应用时填写的回调地址。 POST https://abcdefg.huaweioneaccess.com/api/v1/oauth2/token Content-Type: application/json code=******& client_id=ClientId& client_secret=ClientSecret& redirect_uri=https://example.com& grant_type=authorization_code 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口，返回的响应消息体中“access_token”就是需要获取的Access Token。有了Token之后，您就可以使用Token认证调用其他API。

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 详细的公共请求消息头字段请参见表3。 表3 公共请求消息头 名称 描述 是否必选 示例 Content-Type 消息体的类型（格式）。默认取值为“application/json”，有其他取值时会在具体接口中专门说明。 是 application/json Accept 接受响应类型。推荐用户使用默认值application/json，有其他取值时会在具体接口中专门说明。 否 application/json Content-Length 请求body长度，单位为Byte。 否 3495 对于获取Access Token接口，由于不需要认证，所以只添加“Content-Type”即可，添加消息头后的请求如下所示。 POST https://abcdefg.huaweioneaccess.com/api/v1/oauth2/token Content-Type: application/json

API概览 应用身份管理 服务为您提供管理类、用户类和应用集成相关接口。 表1 OneAccess接口说明 接口分类 接口类型 接口说明 管理类接口 访问认证 包括获取访问凭据。 用户管理 包括创建、修改、删除用户以及为用户授权、查询用户信息等。 组织管理 包括创建、修改、删除组织以及查询组织等。 应用机构管理 包括更新、删除、新增应用机构以及查询应用机构等。 应用帐号管理 包括更新、禁用、启用、删除、新增应用帐号以及查询应用帐号等。 应用侧角色管理 包括更新、删除、新增应用侧角色和应用侧角色成员以及查询应用侧角色、角色成员等。 用户类接口 系统接口 包括获取服务器时间、获取公钥。 注册接口 包括使用手机号和短信验证码注册。 验证码 包括获取图形验证码、校验图形验证码、获取国际区号、发送短信验证码等。 登录登出 包括用户密码登录、手机短信验证码登录、微信登录、支付宝登录、退出登录等。 社交帐号 包括社交帐号登录绑定手机号、社交帐号注册并绑定手机号、获取用户已绑定的社交帐号列表、社交帐号解绑等。 密码管理 包括跳过强制修改密码、密码过期强制修改密码、查询是否设置个人密码、通过手机号找回密码等。 二次认证 包括通过state_Token获取手机号和手机号短信验证码二次认证。 个人信息管理 包括查询个人信息、修改个人信息和修改个人手机号。 SSO 包括通过session_token获取sso_ticket、通过sso_ticket获取用户信息和刷新session_token。 id_token管理 包括通过session_token生成id_token。 应用集成接口 基于CAS的应用认证集成 包括基于CAS协议进行应用认证集成的接口，如认证登录、验证票据、注销登录等。 基于SAML2.0的应用认证集成 包括基于SAML2.0协议进行应用认证集成的接口，如获取IdP元数据等。 基于OAuth2.0的应用认证集成 包括基于OAuth2.0协议进行应用认证集成的接口，如认证登录获取授权码、获取AccessToken、获取用户信息等。 基于OIDC的应用认证集成 包括基于OIDC协议进行应用认证集成的接口，如隐式授权、认证登录获取授权码等。 统一退出 包括全局退出接口，用于注销会话退出登录应用。

请求消息体（可选） 该部分可选。请求消息体通常以结构化格式（如JSON或XML）发出，与请求消息头中Content-Type对应，传递除请求消息头之外的内容。若请求消息体中的参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于获取访问凭据接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中UserName为注册应用后分配的接口认证凭证ID，Password为注册应用后分配的接口认证凭证密钥。 POST https://{domain_name}/api/v2/tenant/token?grant_type=client_credentials Content-Type: application/x-www-form-urlencoded Authorization: Basic eFFp******************************************************************************************************bzZaNg== 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取访问凭据接口，返回的响应消息体中“access_token”就是需要获取的Access Token。有了Token之后，您就可以使用Token认证调用其他API。 PostMan调用示例：

请求URI OneAccess请求URI由如下部分组成。 {URI-scheme} :// {domain_name} / {resource-path} ? {query-string} 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 表1 URI中的参数说明 参数 描述 URI-scheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 domain_name 使用OneAccess服务API需要使用用户访问域名，获取方法请参见获取用户访问域名。 resource-path 资源路径，也即API访问路径。从具体API的URI模块获取，例如“获取访问凭证”API的resource-path为“/api/v2/tenant/token”。 query-string 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“？”，形式为“参数名=参数取值”，例如“limit=10”，表示查询不超过10条数据。 例如您需要获取用户访问域名为“abcdefg.huaweioneaccess.com”的实例Access Token，则需使用用户访问域名“abcdefg.huaweioneaccess.com”，并在获取访问凭据的URI部分找到resource-path（/api/v2/tenant/token），拼接起来如下所示。 https://abcdefg.huaweioneaccess.com/api/v2/tenant/token 图1 URI示意图 为查看方便，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，而domain_name在同一个实例也相同，所以简洁起见将这两部分省略。

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 详细的公共请求消息头字段请参见表3。 表3 公共请求消息头 名称 描述 是否必选 示例 Content-Type 消息体的类型（格式）。默认取值为“application/json”，有其他取值时会在具体接口中专门说明。 是 application/json Accept 接受响应类型。推荐用户使用默认值application/json，有其他取值时会在具体接口中专门说明。 否 application/json Content-Length 请求body长度，单位为Byte。 否 3495 Authorization 认证凭据。如获取用户信息接口，值为Bearer {access_token}。 否 Bearer {access_token} 对于获取访问凭据接口，由于不需要认证，所以只添加“Content-Type”即可，添加消息头后的请求如下所示。 POST https://{domain_name}/api/v2/tenant/token Content-Type: application/x-www-form-urlencoded

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务您正在请求什么类型的操作。 表2 HTTP方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取访问凭据的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://abcdefg.huaweioneaccess.com/api/v2/tenant/token

请求示例 获取图形验证码。 GET https://{domain_name}/api/v2/sdk/captcha X-operating-sys-version: Android 10 X-device-fingerprint: 156aysdna213sac X-device-ip: 10.10.10.1 X-agent: Mozilla/5.0 (Linux; Android 10; Redmi K30 Build/QKQ1.190825.002; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/80.0.3987.99 Mobile Safari/537.36 X-L: zh X-client-id: DRrYIqauawN0I8myTMoDTPys6ezGZxnm X-tenant-id: 08f770f51f80d2f40f38c00cb199fd21

响应示例 状态码： 200 请求成功。 { "captchaId" : null, "projectCode" : null, "captchaOriginalPath" : null, "captchaFontType" : null, "captchaFontSize" : null, "secretKey" : "yMX******hmq", "originalImageBase64" : "iVBORw0KGgoAAAANSUhEUgAAATYABj/WRVk78AAAAASUVORK5CYII=", "point" : null, "jigsawImageBase64" : "iVBORw0KGgoAAAANSUhEUgADcAAAAASUVORK5CYII=", "wordList" : null, "pointList" : null, "pointJson" : null, "token" : "389******fd1", "result" : false, "captchaVerification" : null }

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 captchaId String 验证码ID。 projectCode String 项目编码，当前不支持，固定返回null。 captchaOriginalPath String 验证码原始路径，当前不支持，固定返回null。 captchaFontType String 验证码字体类型，当前不支持，固定返回null。 captchaFontSize String 验证码字体大小，当前不支持，固定返回null。 secretKey String 秘钥，当前不支持，固定返回null。 originalImageBase64 String 原生图片base64。 point String 滑块点选坐标。 jigsawImageBase64 String 滑块图片base64。 wordList String 点选文字。 pointList String 点选坐标。 pointJson String 点坐标（base64编码传输）。 token String 每次请求验证码的唯一标识。 result String 校验结果。 captchaVerification String 后台二次校验参数。 状态码： 400 表3 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误详情。

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-operating-sys-version 是 String 调用方操作系统版本，例如：Android 10。 X-device-fingerprint 是 String 调用方设备指纹，例如：156aysdna213sc50。 X-device-ip 否 String 调用方IP，例如：10.10.10.1。 X-agent 是 String 用户Agent信息，例如：Mozilla/5.0 (Linux; Android 10; Redmi K30 Build/QKQ1.190825.002; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/80.0.3987.99 Mobile Safari/537.36。 X-L 否 String 用于国际化语言设置，例如：zh。 X-client-id 是 String 应用标识，注册应用后分配的ClientId。 X-tenant-id 否 String 租户id，ISV应用调用则为必填，需要将{domain_name}换成ISV通用域名{common_domain}，请求Header参数中需要指定对应租户的tenant_id，并将X-client-id换成ISV应用模板的client_id。

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如用户Agent信息，应用标识等。 详细的通用请求消息头字段请参见表3。 表3 通用请求消息头 名称 描述 是否必选 示例 X-operating-sys-version 调用方操作系统版本。 是 Android 10 X-device-fingerprint 调用方设备指纹。 是 156aysdna213sc50 X-device-ip 调用方IP。 否 10.10.10.1 X-agent 用户Agent信息。 是 Mozilla/5.0 (Linux; Android 10; Redmi K30 Build/QKQ1.190825.002; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/80.0.3987.99 Mobile Safari/537.36 X-L 国际化语言设置。 否 zh X-client-id 应用标识，注册应用后分配的ClientId。 是 DRrYIqauawN0I8myTMoDTPys6ezGZxnm X-tenant-id 租户id，ISV应用调用则为必填。 否 08f770f51f80d2f40f38c00cb199fd20 X-signature 签名信息，用于判断用户登录状态，非所有接口需要，可参考具体接口说明，构造方式可参考session token签名。 否 D0JeOUuVqU8Ixvl0xrmewQRk4AuGZrtk1RfBxueNKUrNPpgSbXrYnzw... 对于获取用户名密码登录接口，添加消息头后的请求如下所示。 POST https://abcdefg.huaweioneaccess.com/api/v2/sdk/login X-operating-sys-version: Android 10 X-device-fingerprint: 156aysdna213sac X-device-ip: 10.10.10.1 X-agent: Mozilla/5.0 (Linux; Android 10; Redmi K30 Build/QKQ1.190825.002; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/80.0.3987.99 Mobile Safari/537.36 X-L: zh X-client-id: DRrYIqauawN0I8myTMoDTPys6ezGZxnm X-tenant-id: 08f770f51f80d2f40f38c00cb199fd21

请求消息体（可选） 请求消息体通常以结构化格式（如JSON或XML）发出，传递除请求消息头之外的内容。若请求消息体中的参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，并不是每个接口都需要有请求消息体（或者消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于用户名密码登录接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中UserName为用户名，PassWord为密码。 POST https://abcdefg.huaweioneaccess.com/api/v2/sdk/login X-operating-sys-version: Android 10 X-device-fingerprint: 156aysdna213sac X-device-ip: 10.10.10.1 X-agent: Mozilla/5.0 (Linux; Android 10; Redmi K30 Build/QKQ1.190825.002; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/80.0.3987.99 Mobile Safari/537.36 X-L: zh X-client-id: DRrYIqauawN0I8myTMoDTPys6ezGZxnm X-tenant-id: 08f770f51f80d2f40f38c00cb199fd21 { "user_name": "UserName", "password": "PassWord" } 到此，这个请求需要的内容就具备了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于用户名密码登录接口，返回的响应消息体中“session_token”就是登录成功的凭证。有了session_token之后，您就可以用来获取用户信息等。

请求URI OneAccess请求URI由如下部分组成。 {URI-scheme} :// {domain_name} / {resource-path} 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 表1 URI中的参数说明 参数 描述 URI-scheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 domain_name 使用OneAccess服务API需要使用用户访问域名，获取方法请参见获取用户访问域名。 resource-path 资源路径，也即API访问路径。从具体API的URI模块获取，例如“用户名密码登录”API的resource-path为“/api/v2/sdk/login”。 例如您需要获取用户访问域名为“abcdefg.huaweioneaccess.com”的实例的session_token，则需使用用户访问域名“abcdefg.huaweioneaccess.com”，并在用户名密码登录的URI部分找到resource-path（ /api/v2/sdk/login），拼接起来如下所示。 https://abcdefg.huaweioneaccess.com/api/v2/sdk/login 图1 URI示意图 为查看方便，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起，这是因为URI-scheme都是HTTPS，而domain_name在同一个实例也相同，所以简洁起见将这两部分省略。

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务您正在请求什么类型的操作。 表2 HTTP方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的时候，PATCH可能会去创建一个新的资源。 在用户名密码登录的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://abcdefg.huaweioneaccess.com/api/v2/sdk/login

协议 商家签署 《云商店通用商品商家合作协议》 《云商店联营商品商家合作协议》 《云商店商家隐私声明》 《云商店众包平台服务商合作协议》 《云商店联营商品商家推广协议》 《云商店商家营销支持支付协议》 用户签署 《云商店通用商品用户协议》 《云商店联营商品用户协议》 《云商店自服务商品用户协议》 《云商店用户隐私声明》 《云商店众包平台用户协议》 客户服务商签署 《云商店客户服务商合作协议》 《云商店联营商品经销商合作协议》

基于客户需求创建 商家可与客户服务商联合销售，由客户服务商创建客户需求，商家接收需求并创建Private Offer，双方协商分成。商家可参考如下操作接收需求并创建Private Offer。 客户服务商提交客户需求的操作流程请参考《创建客户需求》。 客户服务商提交客户需求后，商家进入卖家中心； 单击左侧导航栏“客户需求管理”，进入客户需求管理页面，找到需要接收的客户需求，此时需求状态为“待接收”，单击操作列“接收”按钮； 需求状态变更为“需求转化中”，单击操作列的“创建需求”； 进入创建专属优惠页面，系统会自动带出用户信息和需求商品信息，核对信息后，填写优惠名称和商务折扣等必填信息； 填写完成后，点击提交即可。 如商家填写的商品折扣在免审范围内，则该商家优惠提交约10分钟后自动生效； 如商家填写的商品折扣不在免审范围内，则需等待审批完成后，商家优惠创建成功。

数据资产类 DGC资产：数据资产类DGC资产商品是由行业伙伴或华为某行业团队基于华为云智能数据运营平台DAYU上沉淀的行业业务数据模板而发布商品，用户购买后可以加载到DAYU平台运行，也可以基于现有模板进行二次修改，从而快速复用行业的业务数据逻辑和经验。 数据文件：数据资产类数据文件商品是由云商店提供给商家一个或多个非结构化数据和结构化数据的交易，通常用于数据分析、机器学习等应用场景，帮助用户轻松、安全地发现、订阅、交换和使用高质量的数据。

API类 APIG网关商品：该类商品是指将商家提供的部署在华为云基础设施资源（华为云IaaS）上的软件系统的API接口服务作为商品，用户可以在华为云云商店购买API类商品规格，按约定的方式支付和按调用次数进行计费。 Agents网关商品：该类商品是指将商家人工智能、大模型等软件系统的API接口服务作为商品，用户可以在华为云云商店购买API类商品规格，按约定的方式支付和按调用tokens数、调用次数进行计费。

SaaS类 SaaS类商品是指将商家提供的部署在华为云基础设施资源（华为云IaaS）上的在线应用软件作为商品。用户无需购买独立的云资源，只需购买SaaS应用即可登录到指定的网站使用商品。 目前SaaS类商品接入时，使用用户名+初始密码的方式开通商品。即用户在华为云云商店购买商品时，云商店通过调用商家提供的生产系统接口地址，通知商家实施购买操作，操作完成后，商家向云商店返回前台地址、管理地址、用户登录名以及初始密码等信息。

API使用者从OneAccess获取鉴权Token API使用者调用OneAccess鉴权接口获取鉴权Token。 访问接口：https://访问域名/api/v2/tenant/token?grant_type=client_credentials。 PostMan调用示例： 访问域名获取可参考获取用户访问域名。 使用POST访问，使用Basic认证，Basic认证的用户名和密码为4中获取的ClientId和ClientSecret。 返回的id_token可以由API使用者使用对应API时传递给API提供者做身份认证和授权，其中包含签名信息以及对应的API权限信息。可以使用header来传递。建议使用标准的Authorization Header传递。 返回的id_token有有效期，有效期之内，此id_token可以重复使用，有效期的期限由应用中配置决定。

产品规格差异 应用身份管理服务OneAccess提供了基础版、专业版和企业版三种规格。各规格支持的功能如表1。 基础版提供部分功能，暂不支持条件访问控制等专业功能，支持的用户数为100或500，适用于小型企业，支持包年/包月计费方式。 专业版提供更多访问控制、权限管理、扩容等专业功能，支持按需调整用户数量，支持用户数量为200或1,000~10,000之间，能够满足政府、中大型企业对云上业务高性价比、高可靠性的需求。支持包年/包月计费方式。 企业版支持资源独立部署，提供更多访问控制、权限管理等功能，支持的最大用户数量为40,000，能够满足大型企业和政府的业务需求。支持包年/包月计费方式。 表1 产品规格功能说明 支持内容 基础版 专业版 企业版 增加用户容量 支持 支持 不支持 条件访问控制 不支持 支持 支持 自定义API访问控制 不支持 支持 支持 细粒度权限 不支持 支持 支持 身份同步 不支持 支持 支持 云桥Agent 不支持 支持 支持 组织与用户 支持 支持 支持 自定义用户属性 支持 支持 支持 认证集成（OAuth2、SAML、OIDC、CAS、插件代填、OPEN_API） 不支持插件代填和OPEN_API。 支持 支持 身份源（企业微信、钉钉、飞书、AD、LDAP、薪人薪事、北森HR、名才HR、SAP SuccessFactors、泛微OA_E9） 支持 支持 支持 应用授权（手动、自动） 支持 支持 支持 企业API（内置API、自定义API产品） 不支持自定义API产品。 支持 支持 认证源 支持认证源有：微信、微博、QQ、支付宝、钉钉、Welink、企业微信、云之家、飞书、泛微eteams、AD、LDAP。 支持的认证源有：微信、微博、qq、支付宝、钉钉、Welink、企业微信、云之家、飞书、泛微eteams、SAML、OIDC、OAuth、CAS、AD、LDAP 、Kerberos、FIDO2 支持的认证源有：微信、微博、qq、支付宝、钉钉、Welink、企业微信、云之家、飞书、泛微eteams、SAML、OIDC、OAuth、CAS、AD、LDAP 、Kerberos、FIDO2 区域范围 不支持 支持 支持 管理员权限 支持 支持 支持 密码策略 支持 支持 支持 审计 支持 支持 支持 企业信息 支持 支持 支持 短信网关 支持 支持 支持 邮件网关 支持 支持 支持 钉钉网关 支持 支持 支持 语音网关 支持 支持 支持 数据字典 支持 支持 支持 数据导入 支持 支持 支持 全局参数设置 支持 支持 支持 界面配置 （内置模板、自定义） 支持 支持 支持 服务配置 支持 支持 支持

应用 应用是指在OneAccess上进行统一管理和授权的第三方系统。OneAccess的应用根据是否需要用户自集成分为预集成应用和自建应用。 预集成应用：OneAccess根据应用的开发接口或者相应协议提前进行预集成的应用，企业只需购买并完成基础配置即可使用。 自建应用：企业的自研应用或者不在预集成应用列表中的软件类或商业应用，企业还需要选择应用支持的认证协议、同步方式创建应用实例，进行应用集成开发。

OneAccess授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM 项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM项目与企业项目的区别。 权限 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 开通产品实例 oneaccess:instances:create √ × 查询产品实例列表 oneaccess:instances:get √ × 自定义域名 oneaccess:domains:create √ × 解绑自定义域名 oneaccess:domains:delete √ × 查询域名证书详情 oneaccess:certificates:get √ × 修改域名证书 oneaccess:certificates:update √ × 变更规格 oneaccess:instances:update √ × 授权用户实例访问权限 oneaccess:permissions:grantRoleToUser √ × 移除用户实例访问权限 oneaccess:permissions:revokeRoleFromUser √ × 查询权限角色 oneaccess:permissions:listRoles √ × 查询权授权用户的权限角色 oneaccess:permissions:listRolesForUser √ × 查询实例的授权用户列表 oneaccess:permissions:listUsersOnInstance √ ×

OneAccess控制台权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 OneAccess部署时不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访问OneAccess时，不需要切换区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action），OneAccess支持的API授权项请参见OneAccess授权项。 如表1所示，包括了OneAccess控制台的所有系统权限。 表1 OneAccess控制台权限 系统角色/策略名称 描述 类别 Tenant Administrator 除 统一身份认证 服务外，拥有其他所有服务的管理员权限包括应用身份管理服务所有权限。 系统角色 Tenant Guest 除统一身份认证服务外，拥有其他所有服务的只读权限。拥有该权限的IAM用户仅能查看应用身份管理服务，不具备服务配置权限。 系统角色 IAM ReadOnlyAccess 统一身份认证服务的只读权限。 系统策略 OneAccess FullAccess 应用身份管理服务所有权限。 系统策略 OneAccess ReadOnlyAccess 应用身份管理服务只读权限，拥有该权限的用户仅能查看应用身份管理服务，不具备服务配置权限。 系统策略 华为云账号和被授权的子账号、委托账号可以购买应用身份管理服务实例，子账户和委托账号需要实例授权后才能使用应用身份管理服务。

购买AstroZero专享版实例 提交工单申请开通AstroZero专享版实例。 专享版实例需要单独付费购买，购买专享版实例前，需要先提交工单申请开通专享版。 开通后，进入购买Astro轻应用专享版实例页面。 在购买AstroZero实例页面，设置实例参数，单击“立即购买”。 图9 购买AstroZero专享版实例 表3 购买专享版参数说明 参数 说明 实例版本 待购买实例的规格，请选择“专享版”，实例规格的详细介绍请参见产品规格差异。 用户数 购买的AstroZero实例中最多可以添加多少个用户，此处的用户数包括业务用户数。 CPU架构 新建AstroZero实例的CPU架构，支持x86和Arm。 可用区 新建AstroZero实例，所在的可用区。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。如果需要提高实例的高可靠性，建议将实例创建在不同的可用区。 实例名称 新建实例的名称，同一账号下实例不可重名，创建后不可修改。命名要求如下： 长度为4~64个字符。 必须以英文字母开头，只能英文字母、数字或下划线组成。 描述 在输入框中，输入新建实例的描述信息。 取值范围：1~255个字符。 虚拟私有云 新建实例所在的虚拟私有云，实例创建后不可更改。 安全组 新建实例所在的安全组，实例创建后不可更改。 公网出口 是否开启服务器访问外部公网/局域网内大网网络，网络环境与云平台EIP（弹性公网IP）网络环境一致，当AstroZero需要访问外部邮箱服务或其它第三方网站等需求时，建议开启。 购买时长 设置实例的购买时长，最短1个月，最长3年。 确认规格无误后，单击“去支付”。 支付完成后，单击“返回Astro轻应用控制台”，即可进入AstroZero服务控制台。 AstroZero实例创建成功后，单击专享版实例中的“管理运行环境”，即可进入独立的运行环境。

操作场景 AstroZero免费版可使用的资源有限，标准版、专业版和专享版更适用于个人或企业的商用开发。 标准版：适用于零代码应用开发场景，开发者不需要有代码开发经验，企业自用首选。如何购买标准版实例以及如何使用AstroZero零代码能力开发应用，请参见《用户指南（零代码）》。 专业版：专业版在标准版基础上提供了低代码应用运行环境（多租户共享运行环境），且提供了更多功能和资源，适用于专业开发者。 专享版：专享版提供了物理隔离的运行环境，运行环境实例发放到租户虚拟私有云中。专享版需要提交工单申请开通，否则，您将无法购买专享版。 AstroZero专业版和专享版实例支持回退到免费版，回退后不支持访问运行环境。 购买AstroZero标准版和专业版实例时，会同步创建一个Astro工作流免费基础版实例。Astro工作流（Astro Flow，简称AstroFlow）可帮助开发者快速构建业务流程及自动化工作流，轻松实现人财物事的调、转、入、离、审、评和批等任务的数字化需求。更多关于Astro工作流的介绍，请参见Astro工作流 AstroFlow。

操作场景 在如下两个场景，可以基于已有工作流，创建新工作流： 场景1：在已有工作流基础上新建版本 因业务需要，工作流要实现的能力发生了变化，此时可以基于原有工作流修改，并保存为工作流的新版本。在此场景下，原有工作流作为老版本自动失效。 场景2：在已有工作流基础上新建工作流 需要开发的新工作流与已有的某个工作流类似，此时可以基于原有工作流修改，再保存为新的工作流。在此场景下，原有工作流仍然有效。新工作流和老工作流也没有关联关系，各自独立。

邮件 当流程到达“邮件”任务时，系统自动发送邮件，执行完成后继续执行后续路线。 使用邮件图元，需要提前配置租户的默认邮件服务器，具体操作请参考服务编排、BPM、脚本中发送邮件功能不可用。 图20 调用邮件页面 邮件配置：支持“直接编辑”手动设置邮件信息或“基于模板”选择邮件模板。 主题：当“邮件配置”设置为“基于模板”时，需要选择邮件模板。 内容：当“邮件配置”设置为“直接编辑”时，需要配置邮件内容。 模板：当“邮件配置”设置为“基于模板”时，需要选择邮件模板。 地址：设置接收人的邮箱地址。 文本：直接输入邮箱地址，多个地址请用分号分隔，或者从全局上下文拖拽变量代表一个接收人的邮箱地址。 集合：可以从全局上下文拖拽集合变量，集合变量即数组型变量，表示多个接收人的邮箱地址。在定义变量时，勾选“是否为数组”，则该变量被定义为集合变量。 图21 集合变量 抄送：抄送人的邮箱地址。 密送：密送人的邮箱地址。 是否同步发送：是否开启同步发送功能。