检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
State 否 使用在idp发起的认证中,作为默认的一个值。 支持ForceAuth 是 默认为否。如果SP要求重新认证,则强制用户再次认证。 Response签名 是 默认为否。是否对SAML Response使用IdP的证书签名。 断言签名 是 默认为是。断言需使用IdP的证书签名,对
Internet选项 > 安全 > 本地 Intranet > 站点 > 高级 > 添加https://{租户域名}”。 谷歌浏览器 与IE浏览器共用配置,即IE浏览器配置后,谷歌浏览器可以直接使用无需额外配置。 火狐浏览器 访问火狐浏览器,在地址栏输入“about:config”,单击“接受风险并继续”。
但是不允许修改证书的权限,控制用户对OneAccess资源的使用范围。 如果账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用OneAccess服务的其它功能。 IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号
、企业API。 应用 应用可以理解为企业的下游系统,OneAccess支持基于SAML、OAuth2、OIDC、CAS协议的单点登录,同时,也支持插件代填和SDK/API。当配置完成后,用户登录OneAccess用户门户,单点已授权的应用,即可实现多个已授权应用的单点登录。具体可
Access Protocol)即轻量目录访问协议。它是一种树状结构的组织数据,可以简单理解成一个存储用户和组织信息的树形结构数据库。单点登录是LDAP的主要使用场景之一,即用户只在公司计算机上登录一次后,便可以自动在公司内部网上登录。 同步数据至钉钉 把OneAccess中的组织和人
entityId 是 对应IdP元数据文件中“entityID”的值。 签名证书 是 IdP的签名证书,可从IdP的元数据文件中获取。 签名证书是一份包含公钥用于验证签名的证书。OneAccess通过元数据文件中的签名证书来确认用户身份认证过程中断言消息的可信性、完整性。 绑定类型 是 对
eAccess资源仍可正常使用。然而,对于涉及费用的操作,如升级OneAccess规格、续费订单等,用户将无法正常进行。 避免和处理欠费 欠费后需要及时充值,详细操作请参见账户充值。 若OneAccess不再使用,您可以将其退订,以免继续扣费。 您可以在“费用中心 > 总览”页面
钉钉网关配置 当“短信验证码”和“语音验证码”都无法满足需求时,可以使用钉钉网关发送验证码,在登录用户门户、忘记密码、二次验证、重置密码、风险预警场景,OneAccess同时支持钉钉发送验证码,您只需要通过配置钉钉网关即可实现。 本文主要介绍OneAccess配置钉钉网关的方法。
State 用户在OneAccess登录成功后默认跳转的URL。 Reponse签名 是否对SAML Response使用IDP的证书签名。 断言签名 是否对断言使用IDP的证书签名,对应SP元数据文件中“WantAssertionsSigned”值。 数字签名算法 SAML Respo
ccess,即可批量导入用户。方法请参见用户导入。 身份源同步:从身份源同步用户信息到OneAccess,在高级配置中可以对同步的处理逻辑进行灵活配置,实现将多个身份源汇聚为一个完整的用户目录。方法请参见身份源管理。 操作步骤 管理员为企业人员创建OneAccess用户。 管理员登录OneAccess管理门户。
管理员权限 OneAccess支持对管理门户的权限进行管理,您可以根据需要添加管理员、管理组,并配置相应的使用权限。 管理员分为超级管理员、分级管理员、系统管理员: 超级管理员:拥有管理门户所有组织架构、应用、菜单的管理权限。 分级管理员:拥有管理门户所授权的组织架构、应用、菜单(首页菜单除外)的管理权限。
URI中的参数说明 参数 描述 URI-scheme 表示用于传输请求的协议,当前所有API均采用HTTPS协议。 domain_name 使用OneAccess服务API需要使用用户访问域名,获取方法请参见获取用户访问域名。 resource-path 资源路径,也即API访问
字典项的名称,可以重复。 备注 描述字典项的用途、使用场景等。 单击“保存”,字典项添加完成,字典项列表显示已添加的字典项。 修改字典 当与字典关联的用户属性有变化时,可以通过修改字典来完成适配。 修改字典属性 在数据字典页面,选中需要修改的字典,单击“编辑字典”,可以修改字典的字典类型名称和备注。
据同步的关系模型可以理解为“上游—中游—下游”。其中“上游”指各种核心身份源,例如钉钉、企业微信、HR系统、也可以是OneAccess本身的身份管理模块,“中游”即OneAccess,“下游”指各类需要和上游保持同步的应用系统。通过该模型,OneAccess可以将上游的身份数据实
查询CAS3.0接口验证票据,参数分别配置应用回调地址https://example.com及认证登录接口获取的认证票据ST-eYlKs8FrLCltwRwfm8AiwCxmQ8gAL...,使用JSON响应格式获取用户属性信息。 GET https://{domain_name}/api/
查询CAS2.0接口验证票据,参数分别配置应用回调地址https://example.com及认证登录接口获取的认证票据ST-eYlKs8FrLCltwRwfm8AiwCxmQ8gAL...,使用JSON响应格式获取用户属性信息。 GET https://{domain_name}/api/
认证登录成功,重定向地址。例:https://example.com?ticket=ST-eYlKs8FrLCltwRwfm8AiwCxmQ8gAL... 请求示例 调用CAS单点登录接口进行认证,配置携带票据信息的重定向地址为https://example.com。 GET https://{do
用户组 在OneAccess管理门户,可以建立用户组,并将用户加入到相应的用户组中,基于用户组对用户进行管理和授权。同时,可以根据需要添加、编辑、删除用户组等。基于用户组的授权请参考授权策略。 添加用户组 登录OneAccess管理门户。 在导航栏中,选择“用户 > 组织与用户”。
账号委托 概述 账号委托是将自己账号某个应用的跳转权限临时委托给被委托账号即被委托账号可以访问委托账号的某一应用,完全满足临时委托、委托时效性、用户自主性的需求,委托结束后临时授权结束,被委托人无法再访问该应用,大大提升账号安全性、便利性。 前提条件 委托用户:存在可跳转的应用,可登录OneAccess的用户门户。
空。 管理门户双因子认证 勾选“启用双因子认证”后,在登录管理门户时,需要输入密码和手机验证码才可以登录。 管理门户WeLink认证 勾选“启用WeLink认证”并配置参数后,可使用WeLink登录管理门户。 表1 参数 参数 说明 Client Id WeLink开发平台创建应用获取的