检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在外部身份提供商中激活新证书。 返回外部身份提供商网站并将您之前创建的新证书标记为主证书或已激活证书。此时,所有由外部身份提供商签名的SAML消息都应使用新证书。 删除旧证书。 在删除证书之前,请确保外部身份提供商不再使用此证书来签署SAML响应。 证书列表中必须始终存在至少一个有效证书,并且不能将其删除。
持的用户属性请参见支持配置的用户属性。 图2 添加访问控制属性 配置完成后单击“确定”。 现在您已经启用并配置访问控制属性,接下来需在权限集中添加ABAC的自定义身份策略,具体请参见:为ABAC创建权限策略。 编辑/删除访问控制属性 访问控制属性添加完成后,您可以根据需要随时修改和删除它们。
IAM身份中心支持使用跨域身份管理系统(SCIM)v2.0协议将用户/用户组信息从微软AD自动配置(同步)到IAM身份中心。您可以使用IAM身份中心生成的SCIM端点和访问令牌在微软AD中配置此连接。配置SCIM同步时,您可以在微软AD中创建用户属性与IAM身份中心中的命名属性的映射,这会
解除指定实例的访问控制属性配置 功能介绍 禁用指定IAM身份中心实例的基于属性的访问控制(ABAC)功能,并删除已配置的所有属性映射。 URI DELETE /v1/instances/{instance_id}/access-control-attribute-configuration
获取指定实例的访问控制属性配置 功能介绍 返回已配置为与指定IAM身份中心实例的基于属性的访问控制(ABAC)一起使用的IAM身份中心身份源属性列表。 URI GET /v1/instances/{instance_id}/access-control-attribute-configuration
error_msg String 错误信息。 request_id String 请求唯一标识。 请求示例 更新指定实例的访问控制属性配置。 PUT https://{hostname}/v1/instances/{instance_id}/access-control-attribute-configuration
用在IAM身份中心生成SCIM端点和访问令牌在身份提供商(IdP)中配置此连接。 本章节包含如下内容: 启用自动配置 禁用自动配置 生成/删除访问令牌 启用自动配置 仅当身份源更改为外部身份提供商后,才支持配置此功能。 登录华为云控制台。 单击页面左上角的,选择“管理与监管 >
配置MFA强制执行 您可以参考以下步骤配置用户在访问用户门户时是否必须拥有已注册的多因素认证(MFA)设备。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入设置页面。 选择 “网络和安全”
2.0配置”。 进入“编辑SAML2.0配置”页面,在“身份提供商(IdP)信息”区域右侧单击“编辑”。 修改IdP登录URL和IdP发布者URL,单击“保存”。 在“IdP证书信息”区域可查看证书信息,以及上传或删除证书,具体请参见管理证书。 图1 编辑SAML2.0配置 父主题:
通过ABAC使用企业目录中的员工属性:您可以使用IAM身份中心配置的任何身份源的现有员工属性在华为云中做出访问控制决策。 ABAC配置流程 如下表格包括准备华为云资源和配置IAM身份中心以进行ABAC访问控制所需的操作,使用ABAC需完成此表格中的各项操作。 表1 ABAC配置流程 步骤 说明 参考文档 为资源添加标签
当身份源更改为外部身份提供商后,预置方法默认为手动配置,如您需要从SCIM自动配置切换为手动配置,请参考以下步骤。 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入“设置”页面。 在“身份源”页签
支持配置的用户属性 IAM身份中心当前支持两种身份源:IAM身份中心和外部身份提供商。两种身份源当前支持实施ABAC的用户属性如下表所示。这些用户属性是可以在配置访问控制属性时选择的属性值,对应用户的基本信息、联系方式、工作相关信息和地址信息等,选择这些用户属性并给其赋予属性键,用于实施ABAC时进行访问控制决策。
实例访问控制属性配置管理 启用指定实例的访问控制功能 获取指定实例的访问控制属性配置 更新指定实例的访问控制属性配置 解除指定实例的访问控制属性配置 父主题: API
外部身份提供商配置 外部身份提供商概述 修改SAML2.0配置 SCIM自动配置 手动配置 管理证书 父主题: 管理身份源
描述 instance_access_control_attribute_configuration 是 Object 指定要添加到ABAC配置的IAM身份中心身份源属性。 表4 instance_access_control_attribute_configuration 参数 是否必选
为ABAC创建权限策略 概述 在您已为资源添加标签,并在IAM身份中心启用并配置访问控制属性后,您还需要在权限集的自定义身份策略中添加基于属性的访问控制规则。您可以通过PrincipalTag条件键在权限集中使用访问控制属性来创建访问控制规则,即在策略语句的Condition元素
户,一次性配置企业的身份管理系统与华为云的单点登录,以及所有用户对组织下账号的访问权限。管理员集中创建用户,分配登录密码,并对其进行分组管理。允许用户使用特定用户名和密码登录统一的用户门户网站,访问为其分配的多个账号下的资源,无需多次登录。且通过一个应用中的安全验证后,再访问其他
通过IAM身份中心可以创建和管理用户、用户组以及配置登录时的身份验证方式等。使用创建的用户登录后,可集中管理和访问华为云下多个账号的资源。IAM身份中心为每个组织提供统一的用户管理及登录门户。 访问权限管理 IAM身份中心可以统一配置用户对整个组织内的任意成员账号的访问权限。IAM
当前仅支持通过JSON视图创建自定义策略。 图3 策略设置 进入“配置确认”页面,确认配置无误后,单击页面右下角的“确定”,权限集创建完成。 图4 配置确认 新创建权限集的授权状态为“未授权”,权限集关联账号后授权状态将变为“已授权”。 父主题: 权限集管理
IAM身份中心支持使用跨域身份管理系统(SCIM)v2.0协议将用户和用户组信息从Okta自动配置(同步)到IAM身份中心。您可以使用IAM身份中心生成的SCIM端点和访问令牌在Okta中配置此连接。配置SCIM同步时,您可以在Okta中创建用户属性与IAM身份中心中的命名属性的映射,这会
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
