检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
更改身份源 IAM身份中心支持基于SAML协议的单点登录,如果您已经有自己的企业管理系统,同时您的用户需要使用您账号内的云服务资源,您可以使用IAM的身份提供商功能,实现用户使用企业管理系统账号单点登录华为云,这一过程称之为联邦身份认证。关于IAM身份提供商的具体信息请参见:身份提供商。
SCIM自动配置 IAM身份中心支持使用跨域身份管理系统(SCIM)v2.0协议将用户/用户组信息从身份提供商(IdP)自动配置(同步)到IAM身份中心。配置SCIM同步时,您可以创建身份提供商(IdP)用户属性到IAM身份中心命名属性的映射,这会让IAM身份中心和身份提供商(I
微软AD IAM身份中心支持使用跨域身份管理系统(SCIM)v2.0协议将用户/用户组信息从微软AD自动配置(同步)到IAM身份中心。您可以使用IAM身份中心生成的SCIM端点和访问令牌在微软AD中配置此连接。配置SCIM同步时,您可以在微软AD中创建用户属性与IAM身份中心中的
删除用户组 当您不再需要某个用户组时,可以将其删除。删除用户组后,用户组中的所有用户将失去相关权限。 删除操作无法恢复,请谨慎使用。 删除单个用户组 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“用户组管理”,进入“用户组管理”页面。
设置委托管理员 IAM身份中心默认由组织管理员账号使用和管理,组织中的成员账号如需使用IAM身份中心,需组织管理员将其设置为委托管理员。 此操作会将IAM身份中心的管理访问权限委托给此成员账号中的用户。对此委托管理员账号拥有足够权限的所有用户可以从该账号执行所有IAM身份中心管理任务,但以下任务除外:
Okta IAM身份中心支持使用跨域身份管理系统(SCIM)v2.0协议将用户和用户组信息从Okta自动配置(同步)到IAM身份中心。您可以使用IAM身份中心生成的SCIM端点和访问令牌在Okta中配置此连接。配置SCIM同步时,您可以在Okta中创建用户属性与IAM身份中心中的
用户登录并访问资源 将组织下的一个或多个成员账号与用户和权限集关联后,用户即可使用用户名和密码通过用户门户URL登录控制台并访问资源,资源具体的访问权限由权限集控制。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
ABAC概述和配置流程 ABAC概述 基于属性的访问控制(ABAC)是一种授权策略,该策略基于用户属性来定义权限。您可以使用IAM身份中心或外部身份提供商等不同身份源的用户属性,在IAM身份中心管理用户对华为云资源的访问权限。用户属性也可以称之为标签,使用用户属性作为标签可以帮助
删除权限集 当您不再需要某个权限集时,可以将其删除。需将权限集关联的账号全部解绑后,权限集才能删除。如何解绑账号请参见删除关联的用户/组和权限集。 删除操作无法恢复,请谨慎使用。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
创建用户组 管理员可以创建用户组,并给用户组关联权限集和账号,然后将用户加入用户组,使用户组下的全部用户获得相应的权限,方便统一权限管理。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“用户组管理”,进入“用户组管理”页面。
外部身份提供商概述 SAML 2.0 安全断言标记语言(Secturity Assertion Markup Language 2.0,缩写为SAML 2.0)是一个由一组协议组成,用来传输安全声明的XML框架。SAML2.0是由标准化组织OASIS提出的用于安全操作的标准,是很多身份提供商
为ABAC创建权限策略 概述 在您已为资源添加标签,并在IAM身份中心启用并配置访问控制属性后,您还需要在权限集的自定义身份策略中添加基于属性的访问控制规则。您可以通过PrincipalTag条件键在权限集中使用访问控制属性来创建访问控制规则,即在策略语句的Condition元素
调整配额 什么是配额? 为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限制。如您最多可以创建多少个IAM身份中心用户、用户组等。IAM身份中心的配额请参见约束与限制。 如果当前资源配额限制无法满足使用需要,您可以申请扩大配额。 如何申请扩大配额? 登录管理控制台。
应用场景 集中的身份管理,一次配置,即可安全访问多个账号的资源 大型企业在云上一般有多个账号,当前企业员工如需访问多个账号下的资源,需分别登录多个账号,或在多个账号下分别创建IAM用户来登录,维护成本高,操作效率低。通过IAM身份中心可以: 集中创建和管理用户: 允许管理员集中创
启用和配置访问控制属性 操作场景 在任一身份源中实施ABAC,首先都需在IAM身份中心启用访问控制属性功能,并在其中添加需要在权限集策略中使用的用户属性来控制用户对资源的访问权限。可添加的用户属性如用户的基本信息、联系方式、工作相关信息和地址信息等。当前支持实施ABAC的用户属性请参见支持配置的用户属性。
功能总览 集中身份管理 通过IAM身份中心可以创建和管理用户、用户组以及配置登录时的身份验证方式等。使用创建的用户登录后,可集中管理和访问华为云下多个账号的资源。IAM身份中心为每个组织提供统一的用户管理及登录门户。 访问权限管理 IAM身份中心可以统一配置用户对整个组织内的任意
创建权限集 权限集是管理员创建和维护的权限模板,它定义了一个或多个IAM策略的集合。权限集简化了IAM身份中心的用户和用户组对账号访问权限的分配。可以实现批量的账号权限配置,无需再进行单独的权限配置。 创建权限集为必需操作,使用用户登录控制台访问多个账号下的资源时,必须为其关联权限集,否则登录后将无权访问任何资源。
支持配置的用户属性 IAM身份中心当前支持两种身份源:IAM身份中心和外部身份提供商。两种身份源当前支持实施ABAC的用户属性如下表所示。这些用户属性是可以在配置访问控制属性时选择的属性值,对应用户的基本信息、联系方式、工作相关信息和地址信息等,选择这些用户属性并给其赋予属性键,用于实施ABAC时进行访问控制决策。
配置MFA强制执行 您可以参考以下步骤配置用户在访问用户门户时是否必须拥有已注册的多因素认证(MFA)设备。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入设置页面。 选择 “网络和安全”
配置用户门户会话的持续时间 默认情况下,用户门户会话的持续时间为8小时,即用户无需重新进行身份验证即可登录用户门户的最长时间,超出会话最长持续时间后用户将从用户门户页面登出,需重新进行身份验证。您可以参考如下步骤设置不同的持续时间。 如果您使用外部身份提供商(IdP)作为IAM身