-
邮件网关配置 - 应用身份管理服务 OneAccess
码场景,提供给用户的一种通过邮箱获取信息的方式。开启邮件网关后,管理员重置用户密码时,可以选择由OneAccess产生随机密码,并通过邮件的方式发送给用户,该用户将收到邮件密码,登录成功后可以进行密码重置。 本文主要介绍OneAccess配置邮件网关的方法。 前提条件 开启邮箱P
-
配置LDAP认证源 - 应用身份管理服务 OneAccess
Access Protocol),即轻量目录访问协议。 它是一种树状结构的组织数据,可以简单理解成一个存储用户和组织信息的树形结构数据库。单点登录是LDAP的主要使用场景之一,即用户只在公司计算机上登录一次后,便可以自动在公司内部网上登录。 表1 主要术语 术语 说明 ou 全称 Organization
-
通过CAS协议单点登录至应用 - 应用身份管理服务 OneAccess
通过CAS协议单点登录至应用 概述 CAS是一个基于HTTP2、HTTP3的协议,要求每个组件都可以通过特定的URL访问。通过CAS协议将OneAccess作为身份服务提供商,使第三方应用可以读取OneAccess的用户账号数据。支持CAS1.0、CAS2.0、CAS3.0三种协议。
-
设置 - 应用身份管理服务 OneAccess
号设置”默认进入“个人资料”页面,在页面左侧选择“账号安全”进入“账号安全”页面,可以修改登录密码、绑定手机号、激活动态口令。 修改登录密码:用户可以修改账号的登录密码。 修改绑定手机号:用户可以修改账号绑定的手机号。 激活动态口令:动态口令是遵循基于时间的一次性密码(TOTP)。
-
费用账单 - 应用身份管理服务 OneAccess
费用账单 您可以在“费用中心 > 账单管理”查看资源的费用账单,以了解该资源在某个时间段的使用量和计费信息。 账单上报周期 包年/包月计费模式的资源完成支付后,会实时上报一条账单到计费系统进行结算。 查看指定资源的账单 登录管理控制台,选择“管理与监管 > 应用身份管理服务 OneAccess”。
-
身份源管理 - 应用身份管理服务 OneAccess
OneAccess具有同步身份数据的功能,数据传递的关系模型可以理解为“上游 - 中游 -下游”。其中,上游是企业管理的核心身份源,中游是OneAccess平台,下游是需要和上游保持同步的应用系统。通过该模型,OneAccess可将上游的身份数据实时同步到下游应用系统,确保人员的入离调转行为可以准确的传递到各个应用系
-
认证策略 - 应用身份管理服务 OneAccess
OneAccess对用户的访问进行统一管理,其管理方式就是添加认证策略,通过认证策略给选定的用户设置访问时间、设备类型、区域范围等权限,满足设置的访问条件的用户可以设定登录时的验证方式如二次认证、拒绝、允许访问三种情况。 添加认证策略 登录OneAccess管理门户。 在导航栏中,选择“认证 > 认证策略”。
-
用户属性定义 - 应用身份管理服务 OneAccess
用户属性定义 当企业需要配置更多的用户信息,并将其同步至下游应用系统时,可以通过用户属性定义添加用户属性,可通过基本信息、工作信息两个分组设置用户属性,您还可以根据需求自行添加自定义分组。 基本信息:用户的个人属性,如用户名、手机号等。已设置的基本属性不允许删除,只允许新增和修改。
-
新增组织事件 - 应用身份管理服务 OneAccess
请求头 Authorization: Bearer {access_token} 请求参数 以下请求参数以企业实际配置的机构属性为准,企业管理员可以参考8设置同步至目标应用的属性。 表1 请求参数 参数 固定参数 参数类型 描述 code 是 String(100) 组织编号,全局唯一。
-
新增用户事件 - 应用身份管理服务 OneAccess
Authorization: Bearer {access_token} 请求参数 以下请求参数以企业实际配置的身份同步参数为准,企业管理员可以参考9设置同步至目标应用的属性。 表1 请求参数 参数 固定参数 参数类型 描述 username 是 String(100) 用户名。 name
-
通过SAML协议单点登录至应用 - 应用身份管理服务 OneAccess
Assertion Markup Language),是OASIS安全服务技术委员会的一个产品,是基于XML的开源标准数据格式。SAML可以解决Web端应用系统的单点登录(SSO)需求,在不同的安全域(security domain)之间交换认证和授权数据。 从抽象的角度来看,SAML主要包括:主要术语和授权流程。
-
构造请求 - 应用身份管理服务 OneAccess
到这里为止这个请求需要的内容就具备齐全了,您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口,返回的响应消息体中“access_token”就是需要获取的Access Token。有了Token之后,您就可以使用Token认证调用其他API。
-
密码策略 - 应用身份管理服务 OneAccess
认10次,可以在1~10次之间进行设置。 登录失败次数超过阈值后,将开启滑动验证码,自动计算的阈值为账号锁定次数的三分之一。 账号解锁时间。 用户账号被锁定后,到达设定时长自动解锁。默认3分钟,可以在1~1440分钟之间进行设置。 高级设置 密码倒写。 设置密码是否可以使用用户名
-
配置自定义API产品 - 应用身份管理服务 OneAccess
PI可选择性添加内置API的权限代码,从而达到目标应用授权API权限的便利,同时自定义API也可添加外部API权限。)授权后,相应的应用才可以正常使用。 管理员登录OneAccess管理门户。 在导航栏中,选择“资源 > 企业API”。 在企业API页面,单击指定自定义API产品,进入“修改API产品”页面。
-
用户登录用户门户并进入应用 - 应用身份管理服务 OneAccess
用户登录用户门户并进入应用 管理员添加组织、用户、应用,并为所添加用户授权后,用户可以登录OneAccess用户门户并直接进入应用。 操作步骤 用户从管理员处获取用户访问域名,并登录OneAccess用户门户。 用户从管理员处获取“用户访问域名”。 “用户访问域名”由帐号在购买O
-
配置OIDC认证源 - 应用身份管理服务 OneAccess
在下拉框选择 未关联用户时 是 当用户使用OIDC认证源登录成功后,如未关联到系统用户时,可以根据该设置进行操作,如自动创建用户,可在下拉框选择。 如果您需要同时映射其他属性,如姓名,可以设置“未关联用户时”为“自动创建用户”,通过单击“添加映射”完成。可参考表2。 表2 映射参数
-
安全设置 - 应用身份管理服务 OneAccess
安全设置 在安全设置中,可以配置调用开放API接口的服务器出口IP,不配置时可正常调用。支持最后一位为*号通配的IP格式。如需输入多个以英文逗号分隔,最多允许10个IP, 例如(192.168.0.*,192.168.1.1)。 登录OneAccess管理门户。 在导航栏中,选择“资源
-
计费概述 - 应用身份管理服务 OneAccess
定的时间内为其进行续费,否则实例将会自动释放,数据也可能会丢失。续费包括手动续费和自动续费两种方式,您可以根据需求选择。了解更多关于续费的信息,请参见续费概述。 费用账单 您可以在“费用中心 > 账单管理”查看与OneAccess服务相关的流水和明细账单,以便了解您的消费情况。如需了解具体操作步骤,请参见费用账单。
-
权限管理 - 应用身份管理服务 OneAccess
员工设置不同的权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制云服务资源的访问。IAM的权限管理是在
-
配置AD认证源 - 应用身份管理服务 OneAccess
取。 关联用户属性 必填。AD在系统中映射的用户属性,唯一且为文本类型。 未关联用户时 必填。登录成功后,如未关联到系统用户,可以根据该配置操作。 您可以按需定义用户属性,要求属性唯一且为文本类型。具体请参考添加扩展属性。 在OneAccess中开启AD认证 在导航栏中,选择“资源