检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
临时安全凭证通过接口临时访问密钥AK/SK获取;永久安全凭证通过我的凭证界面控制台获取。 临时安全凭证为动态生成,即时使用,不能嵌入应用程序中,或者进行存储,到期后无法重复使用,只能重新获取。 临时安全凭证的优势 在给外部联邦用户授权时,临时安全凭证的优势尤为明显,您不必给外部联邦用户授予需要定时轮换,
账号:注册华为云时创建的账号,账号是资源的归属以及使用计费的主体,对其所拥有的资源具有完全控制权限,可以访问华为云所有云服务。使用账号登录后,在IAM的“用户”中可以看到账号对应的用户,在IAM中标识为“企业管理员”。 IAM用户:由管理员在IAM中创建的用户,IAM用户可以使用
单击“返回”,跳转至“用户组>授权记录”页签,确认修改后的用户组权限。 图4 单击返回 修改用户组名称和描述 管理员在用户组列表中,单击用户组右侧的“编辑”,修改用户组名称和描述。 图5 修改用户组名称和描述 如果该用户组名称已配置在身份提供商的身份转换规则中,修改用户组名称将导致对应身份转换规则失效,请谨慎操作。
创建:账号在IAM创建身份提供商后,拥有第三方系统账号的企业用户登录华为云时,IAM自动创建虚拟IAM用户,即企业联邦用户。了解详情请参考:身份提供商概述 登录华为云:“企业联邦用户”登录入口。 其他 如果您已有华为企业合作伙伴账号,可以使用该账号登录华为云,登录成功后以账号的身份访问华为云。
用户输入用户名和密码完成身份认证。 用户认证成功后,IdP构建携带用户身份信息的断言发送SAML Response,请求经过中间媒介Client。 Client对SAML Response进行重新封装后转发SAML Response给公有云。 公有云对断言进行校验和认证,并根据用户在身份提供商配置的身份转换规则生成临时访问凭证。
org/simplesaml/saml2/idp/SSOService.php?spentityid=iam.example.com 配置完成后,在浏览器里输入登录URL,浏览器会呈现如下登录页面: 图2 登录页面 Client4ShibbolethIdP脚本实现: import
部分企业级用户在公有云上存在多账号,并且通过企业级IDP系统联邦登录至公有云对不同账号进行操作,需要提前通过API自动配置联邦认证。 本章节指导用户如何使用API调用的方式自动配置联邦认证。 前提条件 账号进行注册或导入操作需要拥有Security Administrator权限。 总体思路
String 身份提供商类型。当前支持如下两种: virtual_user_sso:联邦登录跳转后映射为虚拟用户。 iam_user_sso:联邦登录跳转后映射为实际存在的IAM用户。 默认配置为virtual_user_sso类型。 id String 身份提供商ID。 description
进入统一身份认证 账号 您注册华为云后,系统自动创建账号,账号是资源的归属以及使用计费的主体,对其所拥有的资源具有完全控制权限,可以访问所有云服务。账号不能在IAM中修改和删除,如果您需要删除账号,可以在账号中心进行注销。 如下图所示,使用账号登录后,在IAM的“用户”中可以看到账号
1个小时,可以在15分钟~24小时之间进行设置。 账号锁定策略 如果在限定时间长度内达到登录失败次数后,用户会被锁定一段时间。锁定时,账号不能为自己或IAM用户解锁,锁定时间结束后,才能重新登录。 图2 账号锁定策略 管理员可以设置账号锁定时长、锁定前允许的最大登录失败次数、重置账号锁定计数器的时间。
图9 购买弹性云服务器 配置弹性云服务器各项信息,在“企业项目”下拉列表中选择“企业项目A”。 图10 关联企业项目 单击页面右下角的“立即购买”跳转至支付页面,查看资源详情并提交订单。 按照1~4的方法,为两个企业项目分别购买所需资源。 购买成功后,可以在企业管理页面中单击“
编程访问 用户仅可以使用支持访问密钥认证的API、CLI、SDK等开发工具来访问华为云。 在修改身份提供商页面,填写“配置信息”。 图5 配置信息 表2 配置信息 配置信息 说明 身份提供商URL OpenID Connect身份提供商标识。 对应企业IdP提供的Openid-con
self String 资源链接地址。 previous String 前一邻接资源链接地址,不存在时为null。 next String 后一邻接资源链接地址,不存在时为null。 表6 roles.policy 参数 参数类型 描述 Depends Array of objects
self String 资源链接地址。 previous String 前一邻接资源链接地址,不存在时为null。 next String 后一邻接资源链接地址,不存在时为null。 表6 roles.policy 参数 参数类型 描述 Depends Array of objects
是一种非常简单的安全实践方法,建议您给华为账号以及您账号中具备较高权限的用户开启MFA功能,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。
解决方法:输入正确的密码,如确认字母大小写等。如果您忘记密码,请参考以下方法找回:忘记密码怎么办。 可能原因:修改过期密码或找回密码后,浏览器缓存信息未刷新。 解决方法:请清理浏览器缓存后,重新登录。 系统提示“您的管理员已设置了控制台ACL规则,禁止您所在的终端登录控制台” 可能原因:管理员在IA
介绍,请参见:企业管理用户指南。 IAM和企业管理的区别 开通方式 IAM是华为云的身份管理服务,注册系统后,无需付费即可使用。 企业管理是华为云的资源管理服务,注册系统后,可以自助申请开通,开通方法请参见:如何开通企业管理。 资源隔离 IAM通过在区域中创建子项目,隔离同一个区
基于SAML协议的虚拟用户SSO 基于SAML协议的虚拟用户SSO配置概述 步骤1:创建身份提供商 步骤2:配置企业Idp 步骤3:配置身份转换规则 步骤4:登录验证 (可选)步骤5:配置企业管理系统登录入口 父主题: 身份提供商
自定义身份代理 使用委托方式配置自定义身份代理配置步骤 使用委托方式创建云服务登录地址 使用token方式配置自定义身份代理配置步骤 使用token方式创建云服务登录地址
约束与限制 IAM中的用户数、用户组数等有限定的配额, 其中“是否支持修改”列标示“√”的,表示该限制项可以修改。如果当前资源配额无法满足业务需要,您可以申请扩大配额,具体方法请参见:如何修改配额。 限制分类 限制项 限制值 是否支持修改 用户 IAM用户数 50 √ 用户名的字符数
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
