检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Metadata 查询Metadata文件 查询Keystone的Metadata文件 导入Metadata文件 父主题: 联邦身份认证管理
修改IAM用户访问方式,请参考:查看或修改IAM用户信息。 将UserB的访问密钥或用户名和密码(推荐使用访问密钥)配置到企业IdP的配置文件中,以便获取用户认证token和调用API。为了保障您的账号安全,密码和访问密钥建议加密存储。 在IAM控制台左侧导航栏选择“委托”,单击右上方的“
进行华为云上多租户的联邦认证,步骤如下: 注册身份提供商; 注册映射; 注册协议; 导入Metadata文件; 联邦登录。 涉及的接口如下: 注册身份提供商 注册映射 注册协议 导入Metadata文件 步骤1:注册身份提供商 URI:PUT /v3/OS-FEDERATION/identity_providers/{id}
移动至右上方的用户名,在下拉列表中选择“我的凭证”,单击“访问密钥”页签,您可以在访问密钥列表中查看访问密钥ID(AK),在下载的.csv文件中查看秘密访问密钥(SK)。具体方法请参见:管理访问密钥。 如果您没有登录密码,不能登录控制台,在访问密钥异常丢失或者需要重置时,可以请管
权限基本概念 权限 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 权限的分类 权限根据授权精细程度分为角色和策略。 角色:
步骤1:创建身份提供商 配置联邦身份认证,需要在企业IdP通过浏览器将用户重定向到华为云OIDC身份提供商并创建OAuth 2.0凭据,在IAM控制台上创建身份提供商、配置授权信息,来建立两个系统之间的互信关系。 前提条件 企业管理员在华为云注册了可用的账号,并已在IAM中创建用
身份提供商概述 IAM支持基于SAML、OIDC协议的单点登录,如果您已经有自己的企业管理系统,同时您的用户需要使用您账号内的云服务资源,您可以使用IAM的身份提供商功能,实现用户使用企业管理系统账号单点登录华为云,这一过程称之为联邦身份认证。 基本概念 表1 基本概念 概念 说明
权限及授权项说明 默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最
IAM功能 IAM为您提供的主要功能包括:精细的权限管理、安全访问、敏感操作、通过用户组批量管理用户权限、区域内资源隔离、联合身份认证、委托其他账号或者云服务管理资源、设置安全策略。 精细的权限管理 使用IAM,您可以将账号内不同的资源按需分配给创建的IAM用户,实现精细的权限管
单击“确定”,使配置生效。 界面提示“JSON文件格式不完整”:请修改JSON语句,或单击“取消”,取消本次修改内容。 相关操作 查看规则:在“身份转换规则”区域单击“查看规则”。新创建的身份转换规则在JSON文件中显示。JSON文件内容说明请参考:身份转换规则详细说明。 父主题:
单击目标身份提供商列表右侧的“查看”。 图1 查看身份提供商详情 单击“登录链接”右侧的“”。 图2 复制登录链接 将以下语句添加在企业管理系统页面文件中。 <a href="<登录链接>"> 华为云登录入口 </a> 用户登录企业管理系统后通过单击“华为云登录入口”可以直接访问华为云。 父主题:
单击目标身份提供商列表右侧的“查看”。 图1 查看身份提供商详情 单击“登录链接”右侧的“”。 图2 复制登录链接 将以下语句添加在企业管理系统页面文件中。 <a href="<登录链接>"> 华为云登录入口 </a> 用户登录企业管理系统后通过单击“华为云登录入口”可以直接访问华为云。 父主题:
单击目标身份提供商列表右侧的“查看”。 图1 查看身份提供商详情 单击“登录链接”右侧的“”。 图2 复制登录链接 将以下语句添加在企业管理系统页面文件中。 <a href="<登录链接>"> 华为云登录入口 </a> 用户登录企业管理系统后通过单击“华为云登录入口”可以直接访问华为云。 父主题:
查询Metadata文件 该接口可以用于管理员查询身份提供商导入到IAM中的Metadata文件。 查询Keystone的Metadata文件 该接口可以用于查询keystone的Metadata文件。 导入Metadata文件 该接口可以用于管理员导入Metadata文件。 获取联邦认证unscoped
访问密钥泄露处理方案 访问密钥即AK/SK(Access Key ID/Secret Access Key),是您通过开发工具(API、CLI、SDK)访问华为云时的身份凭证。系统通过Access Key ID识别访问用户的身份,通过Secret Access Key进行签名验证
ecuritytoken两者必须同时使用,请求头中需要添加“x-security-token”字段,使用方法详情请参考:使用临时AK/SK做签名。 调试 您可以在API Explorer中调试该接口。 URI POST /v3.0/OS-CREDENTIAL/securitytokens
ecuritytoken两者必须同时使用,请求头中需要添加“x-security-token”字段,使用方法详情请参考:使用临时AK/SK做签名。 调试 您可以在API Explorer中调试该接口。 URI POST /v3.0/OS-CREDENTIAL/securitytokens
基本概念 本章为您介绍使用IAM服务时常用的基本概念:账号、IAM用户、账号与IAM用户的关系、身份凭证、虚拟MFA、用户组、授权、权限、项目、委托、企业项目。 账号 当您首次使用华为云时注册的账号,该账号是您的华为云资源归属、资源使用计费的主体,对其所拥有的资源及云服务具有完全
审计与监控 云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的IAM操作列表详见开通云审计
和securitytoken必须同时使用,请求头中需要添加“x-security-token”字段,使用方法详情请参考:使用临时AK/SK做签名 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
