-
修改SAML身份提供商配置 - 统一身份认证服务 IAM
"https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME", "protocols": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/ident
-
基于SAML协议的虚拟用户SSO配置概述 - 统一身份认证服务 IAM
Request,发送给浏览器。 浏览器收到请求后,转发SAML Request给企业IdP。 用户在企业IdP推送的登录页面中输入用户名和密码,企业IdP对用户提供的身份信息进行验证,并构建携带用户信息的SAML断言,向浏览器发送SAML Response。 浏览器响应后转发SAML Response给华为云。
-
基于SAML协议的IAM用户SSO配置概述 - 统一身份认证服务 IAM
Request,发送给浏览器。 浏览器收到请求后,转发SAML Request给企业IdP。 用户在企业IdP推送的登录页面中输入用户名和密码,企业IdP对用户提供的身份信息进行验证,并构建携带用户信息的SAML断言,向浏览器发送SAML Response。 浏览器响应后转发SAML Response给华为云。
-
查询服务列表 - 统一身份认证服务 IAM
参数类型 描述 name String 服务名。 description String 服务描述信息。 links Object 服务的资源链接。 id String 服务ID。 type String 服务类型。 enabled Boolean 服务是否可用。 表6 services
-
创建IAM用户 - 统一身份认证服务 IAM
M用户也可以为自身授予权限。IAM用户拥有权限后,IAM用户就可以基于权限对云服务进行操作。 “admin”为缺省用户组,具有所有云服务资源的操作权限。将用户加入该用户组后,用户可以操作并使用所有云服务资源,包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 如果删除并重新创建同名用户,则需要重新授权。
-
修改OpenID Connect身份提供商配置 - 统一身份认证服务 IAM
访问令牌,承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 openid_connect_config 是 object OpenID Connect配置详情。 表4 openid_connect_config 参数 是否必选
-
创建OpenID Connect身份提供商配置 - 统一身份认证服务 IAM
访问令牌,承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 openid_connect_config 是 object OpenID Connect配置详情。 表4 CreateOpenIDConnectConfig 参数
-
分配委托权限(被委托方操作) - 统一身份认证服务 IAM
管理委托方授权的资源。B账号需要提前获取委托公司的华为账号名称、所创建的委托名称以及委托的ID。 创建用户组并授权。 B账号在统一身份认证服务左侧导航窗格中,单击“用户组”。 在“用户组”界面中,单击“创建用户组”。 输入“用户组名称”,例如“委托管理”。 单击“确定”。 返回用
-
SP initiated方式 - 统一身份认证服务 IAM
租户的云服务器中),如果在不安全的网络环境中,可能会受到中间人攻击。 使用文本编辑器创建环境变量文件,在文件中设置用户名、密码、区域、SAML协议版本、IAM地址和端口等信息。参数说明如表1所示。 示例如下: export OS_IDENTITY_API_VERSION=3 export
-
查询OpenID Connect身份提供商配置 - 统一身份认证服务 IAM
访问令牌,承载用户的身份、权限等信息。 token所需权限请参见授权项。 响应参数 状态码为 200 时: 表3 响应Body参数 参数 参数类型 描述 openid_connect_config object OpenID Connect配置详情。 表4 OpenIDConnectConfig 参数 参数类型 描述
-
敏感操作 - 统一身份认证服务 IAM
修改访问密钥保护状态 管理与监管 云审计服务(CTS) 停用system追踪器 管理与监管 云日志服务(LTS) 删除日志流/组 卸载ICAgent 应用服务 分布式缓存服务(DCS) 重置密码 删除实例 清空数据 专属云 专属分布式存储服务(DSS) 删除磁盘 数据库 云数据库 RDS
-
多因素认证 - 统一身份认证服务 IAM
面输入多因素认证设备中的验证码,再次确认登录者身份,进一步提高账号安全性。 操作保护:您以及账号中的IAM用户进行敏感操作时,例如删除弹性云服务器资源,需要输入多因素认证设备中的验证码对操作进行确认,避免误操作带来的风险和损失。 更多有关登录保护和操作保护的介绍,请参见:敏感操作。
-
使用IAM授权的云服务 - 统一身份认证服务 IAM
M授权的云服务请参见下方表格内容。 表格参数说明如下: 服务:使用IAM授权的云服务名称。单击服务名,可以查看该服务支持的权限,以及不同权限间的区别。 所属区域:使用IAM授权时,该服务选择的授权区域。 全局区域:服务部署时不区分物理区域,为全局级服务。在全局项目中进行授权,访问该服务时,不需要切换区域。
-
(可选)步骤5:配置企业管理系统登录入口 - 统一身份认证服务 IAM
(可选)步骤5:配置企业管理系统登录入口 将身份提供商的登录链接配置到企业管理系统上,企业用户通过该链接访问华为云。 华为云提供“企业联邦用户登录”入口,如您未配置企业管理系统登录入口,企业联邦用户可以通过该方法登录华为云,详情请参考:企业联邦用户登录。 前提条件 已在华为云创建
-
(可选)步骤5:配置企业管理系统登录入口 - 统一身份认证服务 IAM
(可选)步骤5:配置企业管理系统登录入口 将身份提供商的登录链接配置到企业管理系统上,企业用户通过该链接访问华为云。 华为云提供企业联邦用户登录入口,如您未配置企业管理系统登录入口,企业联邦用户可以通过该方法登录华为云,详情请参考:企业联邦用户登录。 前提条件 已在本系统创建身份
-
步骤1:创建身份提供商 - 统一身份认证服务 IAM
复制登录链接 检查浏览器页面是否跳转到IdP登录界面,如果跳转失败,请确认身份提供商配置信息以及企业IdP服务器配置是否正确。 输入企业管理系统的用户名和密码验证是否可以登录到华为云。 登录成功:表示单点登录验证成功,您可以将该地址以链接的形式配置到企业管理系统。 登录失败:请检查您的用户名和密码。
-
自定义策略使用样例 - 统一身份认证服务 IAM
当前仅部分服务支持资源级授权,例如OBS 对象存储服务;对于不支持资源级别授权的服务,若自定义策略中含有资源类型,则无法创建成功。 完全使用自定义策略 您也可以不使用系统策略,只创建自定义策略,实现IAM用户的指定服务授权。 以下策略样例表示:仅允许IAM用户使用ECS、EVS、VPC、ELB、AOM
-
常用系统权限设置案例 - 统一身份认证服务 IAM
请参考以下文档给IAM用户设置常见云服务的访问权限。 设置弹性云服务器(ECS)的权限 设置弹性负载均衡(ELB)的权限 设置关系型数据库(RDS)的权限 设置云硬盘(EVS)的权限 设置云监控(CES)的权限 设置云容器引擎(CCE)的权限 设置对象存储服务(OBS)的权限 设置云备份(CBR)的权限
-
步骤1:创建身份提供商 - 统一身份认证服务 IAM
支持HTTP Redirect或HTTP POST方式。 支持配置多个,华为云默认使用第一个。 SingleLogoutService 否 对应IdP元数据文件中“SingleLogoutService” 的值。 服务提供商提供会话注销功能,联邦用户在IAM注销会话后返回绑定的地
-
状态码 - 统一身份认证服务 IAM
在客户端提供认证信息后,返回该状态码,表明服务端指出客户端所提供的认证信息不正确或非法,请确认用户名和密码是否正确。 402 Payment Required 保留请求。 403 Forbidden 请求被拒绝访问。 返回该状态码,表明请求能够到达服务端,且服务端能够理解用户请求,但是拒绝做