检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
String 应用标识,注册应用后分配的ClientId。 X-tenant-id 否 String 租户id,ISV应用调用则为必填,需要将{domain_name}换成ISV通用域名{common_domain},请求Header参数中需要指定对应租户的tenant_id,并将X-c
在通用信息模块,单击“认证集成”后的“配置”,进入“认证集成(CAS)”的“参数配置”页签。 配置参数会明文展示所输入的信息,请防止信息泄露。 图3 配置认证参数 表1 认证参数 参数 说明 应用回调URL 必填。第三方应用的URL,需与CAS接口中service参数值一致,且符合RFC中URL的编码格式。
和用户数据的同步。 集成企业应用 使用OneAcceess用户门户登录华为云 华为云支持基于SAML、OIDC协议的单点登录,企业管理员在华为云和OneAccess进行配置后,普通用户登录OneAccess用户门户,即可免密进入华为云Console系统或者是某个具体的华为云应用。
参数类型 描述 id String(50) 与表1中的id一致。 当下游企业应用更新机构成功后,回传至OneAccess的机构ID。 需下游应用保持一致,如果不一致,后面接口返回的id会覆盖之前的id。 请求示例 启用消息签名和加密的请求示例: { "nonce": "AmgjjEAJbrMzWmUw"
OneAccess最基础的入门操作包括添加组织机构、添加用户、添加应用,通过这三个操作就能开始进行集中式身份管理、身份认证和应用管理。 图1为OneAccess基本的入门使用流程,如需了解更多操作,请查看用户指南对应章节。本文旨在帮助您对OneAccess的入门操作有初步的认识,完成这些操
当未开启加密时,返回请求包体中的明文随机字符串。 当开启加密时,对请求包体中加密的随机字符串进行解密,返回重新加密的该随机字符串的值,需要解密得到消息内容,解密后有random、msg二个字段,其中msg即为明文消息内容。 请求示例 未启用消息签名和加密的请求示例: { "nonce":
网站应用”,单击认证方式名为“飞书认证”操作列的开启飞书认证。 在飞书开放平台上创建应用 在飞书开放平台上创建应用,并通过配置OneAccess的授权信息,可以建立飞书对OneAccess的信任。 登录飞书开放平台。 在飞书开放平台,单击“创建企业自建应用 ”,输入应用名称与描述,并上传 Logo。 选择“应用功能
管理类接口:提供给管理员进行用户、组织、应用等管理操作的接口。 用户类接口:提供给普通用户进行登录登出、密码管理等操作的接口。 应用集成接口:提供给下游应用进行单点登录等操作的接口。 在调用应用身份管理服务的API之前,请确保已经充分了解应用身份管理服务的相关概念,详细信息请参见产品介绍。 父主题: 使用前必读
本节以添加预集成应用为例,介绍快速了解管理员添加应用的操作步骤。 前提条件 请确保您已购买需要添加的应用。 添加应用 管理员在OneAccess添加需要统一管理的应用。该操作步骤以添加SAML协议的应用为例,添加其他协议的应用请参考:集成企业应用。 管理员登录OneAccess管理门户。
编辑。 如果需要跳转华为云Console中的特定业务页面,需要对华为云创建的身份提供商的“登录链接”进行拼接后填入挂接URL中,此处以跳转CodeArts服务页面为例进行说明: 华为云创建的身份提供商的“登录链接”为:https://auth.huawei.com/authui/federation/websso
单击“添加映射”,添加应用属性名为“IAM_SAML_Attributes_xUserId”的映射,建立OneAccess与华为云之间的属性映射。映射对象可以是OneAccess中用户已有的属性,也可以是新增的自定义属性,必须和5中添加的IAM用户的外部身份ID一致。 在OneAccess配置华为云登录入口。 在华为云应用详情页面,选择“登录配置
在添加策略页面进行认证策略的相关配置。 表1 策略信息 参数 说明 *策略名称 为添加的认证策略进行命名便于管理。 描述 为添加的认证策略添加描述信息。 用户条件 选择用户范围,可在下拉菜单选择:所有用户、满足条件的用户和不满足条件的用户。 访问时间 用户访问的时间,可在下拉菜单选择
选择适合版本和规格 用户可以根据自己的业务场景选择合适的OneAccess规格,在此做如下推荐: 如果用户数量较少,功能需求简单,不会使用到应用身份管理服务的高级特性,例如条件访问控制、身份同步、云桥等,建议使用基础版实例。 如果用户数量较多,需要使用到应用身份管理服务的高级特性,如:访问控制
其中,remote为OneAccess映射到IAM的信息,取其中的name字段,可取的映射字段可以参考2。 local为IAM本地的信息,其中user为IAM的用户信息,其中的name为展示的子用户名称,{0}为取remote中的第一个字段。group为IAM的用户组信息,表示所有用户都映射到admin的用户组,拥有其所有权限。
String(50) 下游企业应用创建机构成功后,生成的机构ID,并回传至OneAccess,作为该机构的唯一标识。 在修改、删除机构时,传递id至下游应用,需下游应用保持一致,如果不一致,后面接口返回的id会覆盖之前的id。 请求示例 启用消息签名和加密的请求示例: { "nonce": "AmgjjEAJbrMzWmUw"
切换到“应用授权”页签,修改应用调用该API的权限。如需添加应用请参考添加应用。 授权应用后,需在应用中,授权具体的API,可参考4。 切换到“权限信息”页签,单击“添加”,添加权限代码(权限代码可选择于内置API中的权限代码,或是外部的API的权限代码)。 切换到“权限信息”页签,查
本文介绍如何实现AD域的身份数据自动同步到钉钉。 OneAccess可以全面打通AD到钉钉的身份数据同步链路:定时同步AD域数据,自动变更钉钉通讯录数据。通过该能力,企业可以将AD作为传统的身份管控来源,并自动地向钉钉以及其他下游应用同步身份数据,实现“一处修改,处处生效”的效果。 配置流程
全局退出 功能介绍 注销会话退出登录,当用户退出第三方应用系统时,除退出应用系统本身的会话外,同时将销毁OneAccess生成的SSO票据,OneAccess销毁SSO票据后,浏览器将重定向到应用端指定的回调地址URL。 接口约束 无 URI GET /api/v1/logout 表1
华为云支持基于SAML、OIDC协议的单点登录,企业管理员在华为云和OneAccess进行配置后,普通用户登录OneAccess用户门户,即可免密进入华为云Console系统或者是某个具体的华为云应用。 前提条件 请确保您的浏览器可以访问华为云控制台。 请确保您已拥有OneAccess管理门户的访问权限。
error_code String 错误编号。 error_msg String 错误详情。 请求示例 创建指定应用的应用账号并关联指定用户,账号名为zhangshan,账号名称为zs,关联用户的user_id为20220331164602949-904C-D475B60AE,应用账号为启用状态。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
