检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
权限集是管理员创建和维护的权限模板,它定义了一个或多个IAM策略的集合。权限集简化了IAM身份中心的用户和用户组对账号访问权限的分配。可以实现批量的账号权限配置,无需再进行单独的权限配置。 创建权限集为必需操作,使用用户登录控制台访问多个账号下的资源时,必须为其关联权限集,否则登录后将无权访问任何资源。
当某些外部身份提供商不支持跨域身份管理系统(SCIM),或具有不兼容的SCIM实现时,您需要通过IAM身份中心手动配置用户和用户组。创建用户时,请确保将用户名和邮件地址设置为与外部身份提供商中的一致;创建用户组则不需要与外部身份提供商中存在的群组一致。 操作步骤 当身份源更改为外部身份提供商后,预置方法
客户端管理 注册客户端 父主题: API
示例2:拒绝用户删除权限集 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予IdentityCenter FullAccess的系统策略,但不希望用户拥有IdentityCenter
选择MFA验证类型 您可以参考以下步骤配置用户在访问用户门户时可以进行多因素认证(MFA)的设备类型。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入设置页面。 选择 “网络和安全”
IAM身份中心支持使用跨域身份管理系统(SCIM)v2.0协议将用户和用户组信息从Okta自动配置(同步)到IAM身份中心。您可以使用IAM身份中心生成的SCIM端点和访问令牌在Okta中配置此连接。配置SCIM同步时,您可以在Okta中创建用户属性与IAM身份中心中的命名属性的映射,这会使IA
PutCustomPolicy 用户登录后为用户生成凭证 User Authenticate 激活设备授权码 User ActiveDevice 取消设备授权码 User CancelDevice 创建用户 User CreateUser 删除用户 User DeleteUser 更新用户 User UpdateUser
SCIM自动配置 IAM身份中心支持使用跨域身份管理系统(SCIM)v2.0协议将用户/用户组信息从身份提供商(IdP)自动配置(同步)到IAM身份中心。配置SCIM同步时,您可以创建身份提供商(IdP)用户属性到IAM身份中心命名属性的映射,这会让IAM身份中心和身份提供商(IdP)
单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“用户管理”,进入“用户管理”页面。 在用户列表中,单击用户名,进入用户信息详情页。 图1 选择用户 选择用户详情页下方的“MFA设备”页签,单击“注册MFA设备”。 图2 注册MFA设备 系统跳
并分析用户后续登录的登录上下文(如设备、浏览器和IP地址)。后续登录时,如果用户的登录上下文未更改,将不触发MFA认证;如果用户的登录上下文更改,将提示用户进行MFA认证。 此模式为经常从工作场所登录的用户提供了易用性,因此用户不需要在每次登录时完成MFA认证。只有在登录上下文更改时,才会提示用户进行MFA认证。
删除权限集 当您不再需要某个权限集时,可以将其删除。需将权限集关联的账号全部解绑后,权限集才能删除。如何解绑账号请参见删除关联的用户/组和权限集。 删除操作无法恢复,请谨慎使用。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
IAM身份中心支持使用跨域身份管理系统(SCIM)v2.0协议将用户/用户组信息从微软AD自动配置(同步)到IAM身份中心。您可以使用IAM身份中心生成的SCIM端点和访问令牌在微软AD中配置此连接。配置SCIM同步时,您可以在微软AD中创建用户属性与IAM身份中心中的命名属性的映射,这会使IA
MFA设备。 阻止登录 强制每个用户在登录时使用MFA设备验证,否则将阻止其登录。 允许登录 选择此项表示用户不需要MFA设备验证即可登录用户门户。 允许用户通过邮件发送一次性验证码登录 如果您希望通过电子邮件向用户发送验证码,请使用此选项。 图1 配置MFA强制执行 单击“应用”。
集关联,这样用户登录用户门户访问关联账号下的资源时,只能访问基于用户属性匹配标签的资源。 账号关联用户/组和权限集 用户登录并访问资源 完成以上步骤后,关联相关账号和权限集的IAM身份中心用户登录用户门户,将根据匹配的用户属性获得相应资源的访问权限。 用户登录并访问资源 父主题:
策略中使用的用户属性来控制用户对资源的访问权限。可添加的用户属性如用户的基本信息、联系方式、工作相关信息和地址信息等。当前支持实施ABAC的用户属性请参见支持配置的用户属性。 例如您要根据用户的用户名分配其对组织资源的访问权限,您可以在“访问控制属性”页面上添加用户名属性用于AB
查看或修改权限集 完成权限集的创建后,支持对权限集的基本信息和策略设置进行查看和修改,以及对关联的账号进行更新权限集操作。 查看权限集 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 在左侧导航栏中,选择“多账号权限 >
管理权限集标签 标签简介 标签用于标识云资源,当您拥有相同类型的许多云资源时,可以使用标签按各种维度(例如用途、所有者或环境)对云资源进行分类。 IAM身份中心支持为权限集添加标签,您可以根据标签快速搜索和筛选特定的权限集,使您可以更轻松高效的识别和管理已创建的权限集。 您可以在
IdP功能添加到您的IAM身份中心存储或外部身份提供商应用程序,然后用户可以单点登录到支持SAML的服务,包括华为云管理控制台和第三方应用程序。但是SAML协议没有提供查询IdP来了解用户和用户组的方法,因此您必须将这些用户和用户组配置到IAM身份中心来获取这些用户和用户组。 SCIM IAM身份中心为跨域身份管理系统(SCIM)v2
olicy”系统策略,表示与此权限集关联的用户拥有组织服务的所有权限,但是您不希望某些用户拥有删除指定组织OU的权限,您可以在权限集的自定义身份策略中写入如下策略内容,表示拒绝用户进行删除指定组织OU的操作。 此自定义身份策略对哪些用户和资源生效由条件键控制,示例中的条件键表示资
BadRequest 非法请求。 建议直接修改该请求,不要重试该请求。 401 Unauthorized 在客户端提供认证信息后,返回该状态码,表明服务端指出客户端所提供的认证信息不正确或非法,请确认用户名和密码是否正确。 402 Payment Required 保留请求。 403 Forbidden
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
