检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用前必读 概述 调用说明 终端节点 参数说明 基本概念
of与empty条件不同,这两个条件返回的是一个布尔值,该值不能用于填充local中的占位符。所以以下示例中,仅有一个占位符“{0}”用于被remote块中的第一个Empty条件填充,第二个group为一个固定的值admin。 以下示例表示联邦用户在IAM中的用户名为“remote”的第一个属性,即Us
不同的企业IdP发起Idp侧登录的方式差异较大,华为云帮助文档不做详述,具体操作请参考企业IdP的帮助文档。本节重点介绍SP侧发起登录的方法: 联邦用户登录。 在控制台的“身份提供商”页面,单击“操作”列的“查看”,进入“身份提供商基本信息”页面;单击“登录链接”右侧的“”,在
无法访问华为云服务,请谨慎修改。 描述:修改IAM用户的描述信息。 外部身份ID:IAM SSO类型的联邦用户单点登录中,与当前实体IAM用户对接的,企业自身用户的身份ID值。 所属用户组 所属用户组表示用户具备的权限,通过修改IAM用户的所属用户组可以修改用户的权限。如需修改用
} 当前仅部分服务支持资源级授权,例如OBS 对象存储服务;对于不支持资源级别授权的服务,若自定义策略中含有资源类型,则无法创建成功。 完全使用自定义策略 您也可以不使用系统策略,只创建自定义策略,实现IAM用户的指定服务授权。 以下策略样例表示:仅允许IAM用户使用ECS、EVS、VPC、ELB、AOM
需要访问的华为云服务地址。 logintoken 自定义代理登录票据。 您可以参考以下Demo示例创建云服务登录地址:使用token方式创建云服务登录地址 云服务代理登录地址中包含从IAM获得的登录票据loginToken,loginToken用于对访问的用户进行身份验证。云服务
时,可以使用本接口获取的Token进行鉴权。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 接口使用导航: IAM用户获取Token 判断当前账号是华为账号还是华为云账号 华为账号获取Token 华为云账号获取Token
用户名:企业IdP用户在华为云中显示不同的用户名。 用户权限:赋予企业管理系统用户使用华为云资源的权限。由于华为云权限的最小授权单位是用户组,因此需要建立联邦用户与IAM用户组的映射关系,从而使得联邦用户获得对应用户组的权限,使用华为云上的资源。配置时请确保已创建需要映射的IAM用户组,创建IAM用户组并授权请参见:创建用户组并授权。
身份提供商 查询身份提供商列表 查询身份提供商详情 创建身份提供商 修改SAML身份提供商配置 删除SAML身份提供商 创建OpenID Connect身份提供商配置 修改OpenID Connect身份提供商配置 查询OpenID Connect身份提供商配置 父主题: 联邦身份认证管理
由安全管理员来查询租户的委托列表,根用户默认为安全管理员)中选择所需要使用的委托,具体方法请参见企业管理系统帮助文档。 自定义代理的委托列表是企业IdP创建的用户组名称与华为云创建的委托名称的交集。 企业IdP自定义代理根据委托,携带IAM用户userB的token调用API(POST
绑定虚拟MFA并开启登录保护或操作保护后,用户在进行登录或进行敏感操作时,需要输入MFA应用程序的动态验证码,下图以登录验证为例。 此时,用户需要打开MFA应用程序,在首页查看用户已绑定账号的验证码,下图以华为云App为例。 如果虚拟MFA验证码校验不通过,请参考:虚拟MFA验证码校验不通过怎么办。
统颁发给自定义身份代理用户的登录票据,承载用户的身份、session等信息。调用自定义身份代理URL登录云服务控制台时,可以使用本接口获取的logintoken进行认证。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。
联邦身份认证管理 通过联邦认证获取token 身份提供商 映射 协议 Metadata Token 查询联邦用户可以访问的账号列表 查询联邦用户可以访问的项目列表 父主题: API
initiated的联邦认证方式获取unscoped token。 Unscoped token不能用来鉴权,若联邦用户需要使用token进行鉴权,请参考获取联邦认证scoped token获取scoped token。 该接口可以使用全局区域的Endpoint和其他区域的Endpoi
使用委托方式创建云服务登录地址 该章节提供使用委托方式创建登录华为云云服务的联邦代理登录地址的示例代码。 Java示例代码 以下示例说明了如何使用java编程的方式创建云服务登录地址FederationProxyUrl,该示例基于华为云 Java 软件开发工具包(Java SDK)开发。
数据保护技术 IAM侧 租户侧 父主题: 安全
基于SAML协议的虚拟用户SSO 基于SAML协议的虚拟用户SSO配置概述 步骤1:创建身份提供商 步骤2:配置企业Idp 步骤3:配置身份转换规则 步骤4:登录验证 (可选)步骤5:配置企业管理系统登录入口 父主题: 身份提供商
配置联邦身份认证,需要在企业IdP上传华为云的元数据文件(Metadata文件),并在IAM控制台上创建身份提供商、上传企业IdP的元数据文件,来建立两个系统之间的互信关系。 前提条件 企业管理员已获取企业IdP的帮助文档或了解企业IdP使用方法。由于不同的企业IdP的配置存在较大差异,华为云帮助
基本概念 使用API涉及的常用概念 账号 用户注册华为云时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由账号
获取IAM用户Token(使用密码) 功能介绍 该接口可以用于通过用户名/密码的方式进行认证来获取IAM用户的Token。Token是系统颁发给IAM用户的访问令牌,承载用户的身份、权限等信息。调用IAM以及其他云服务的接口时,可以使用本接口获取的IAM用户Token进行鉴权。但强烈推荐您使用AK/
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
