检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
入门实践 当您购买了应用身份管理服务实例后,可根据业务需要使用OneAccess提供的一些实践操作。 实践 描述 集成身份源 集成钉钉身份源 本实践将为您介绍如何在OneAccess中配置钉钉身份源,通过身份源导入用户和组织信息,实现OneAccess实时同步身份源中用户和组织信息。
用户匹配策略 企业AD用户与OneAccess用户的映射关系。当OneAccess同步企业AD中的用户时,根据该策略进行匹配。如属性名为用户ID、身份源属性名为员工唯一标识ID,企业AD的用户将以编码为匹配策略映射至OneAccess。 创建用户 开启后,如果同步用户时匹配失败,则
虚拟用户SSO定义可参见虚拟用户SSO与IAM用户SSO的适用场景。 一个华为云账号只能存在“IAM用户SSO”和“虚拟用户SSO”中的一种类型的身份提供商。 获取华为云登录链接。 参考在华为云上配置元数据文件把OneAccess IdP的Metadata文件配置到华为云。 参考配置身份转换规则在华为
服务地址}/standard-oauth2/authenticate 。 AccessToken获取地址 配置2中获取的OneAccess的获取token地址。 获取用户信息地址 配置2中获取的OneAccess的UserInfo地址,并配置消息类型为Get,添加消息头Authorization,值为Bearer
全称Surname,即姓。 cn 全称Common Name,公共名称。 dn 全称Distinguished Name,唯一标识名。 uid 全称User ID,用户ID。 rdn 全称Relative dn,相对辨别名,类似文件系统中的相对路径。 本文主要介绍OneAccess以LDAP协议同步组织和用户数据至OpenLDAP的方法。
“OIDC配置”获取集成需要的端口信息。 登录OneAccess管理门户。 在导航栏中,选择“设置 > 服务配置”。 在“服务配置”页面,单击“OIDC”,在弹出框中获取如下参数。 参数 说明 认证授权 用户获取应用认证授权的接口,系统默认。 获取Token 获取用户Token的接口,系统默认。
作为查询条件。可参考5。 查询条件 必填。根据对象类和用户登录名进行查找,userPrincipalName可根据实际情况调整,占位符为{0}时,指带域名查询,页面输入值+域名,如zhangsan@companya.cn,无域名时,获取认证源域名属性值拼接后查询;占位符为{1}时
AppKey QQ互联平台创建应用获取的 AppID。可参考2。 AppSecret QQ互联平台创建应用获取的 AppSecret。可参考2。 回调地址 系统自动生成。对应QQ互联平台创建应用时需设置的回调地址。 未关联用户时 QQ认证源未关联用户时,可根据该设置继续操作。可在绑定、绑定或注册中任选一个。
认证源的显示名称,支持自定义。如微博扫码。 渠道选择 微博开放平台创建的应用类型,如网站应用。 AppKey 微博开放平台创建应用获取的 AppKey。可参考2。 AppSecret 微博开放平台创建应用获取的 AppSecret。可参考2。 回调地址 系统自动生成。示例:https://xxx.huaweioneaccess
认证源的显示名称,支持自定义。如微信扫码。 渠道选择 微信开放平台创建的应用类型,如网站应用。 AppKey 微信开放平台创建应用获取的 AppID。可参考2。 AppSecret 微信开放平台创建应用获取的 AppSecret。可参考2。 回调地址 系统自动生成。对应微信开放平台创建应用时需设置的回调域。示例:xxx
附录 session token签名 对OIDC协议中的id_token进行验证 错误码
同步实现。全量同步遵循以下规则: 全量同步会忽视之前所有的同步事件,并生成新的同步事件,如果应用系统未返回id,则生成新增事件,如果应用系统已返回id,则生成更新事件。id说明可参考表2。 全量同步触发的更新事件会同步映射定义配置的所有属性,普通的更新事件只同步变更的属性。 当依
用户类接口 如何调用API 系统接口 注册 验证码 登录登出 社交账号 密码管理 二次认证 个人信息管理 SSO id_token管理 父主题: API
AppKey 钉钉开放平台创建应用获取的AppKey。可参考4。 AppSecret 钉钉开放平台创建应用获取的AppSecret。可参考4。 自动手机号绑定 钉钉管理平台应用权限管理选择个人权限,申请个人手机号信息和通讯录个人信息读权限。开启后可直接获取钉钉手机号,无需用户手动输入 回调地址
或生物识别身份验证器 (WindowsHello、Touch ID等)。 PC端开启FIDO2认证 在用户PC端设备上开启安全密钥 (USB或蓝牙) 或生物识别身份验证器 (WindowsHello、Touch ID等)。下文以开启WindowsHello为例。 在OneAccess中配置FIDO2认证源
et的接口将全部失效,请谨慎重置。 OneAccess不存储ClientSecret,当获取ClientSecret后,请妥善保管。 图2 获取ClientId和ClientSecret 获取OneAccess侧的认证信息。 登录OneAccess管理门户。 在导航栏中,选择“设置
网页&移动应用 > 自定义接入”,创建应用,配置参数。其中,网址url指2中的回调地址。 添加获取会员信息和第三方应用授权能力。 图1 添加能力 设置接口加签方式。 填写公钥字符可通过支付宝密钥生成器获取,可参考图3。 将工具生成的密钥对和支付宝生成的支付宝公钥保存在本地。 图2 设置接口加签
et的接口将全部失效,请谨慎重置。 OneAccess不存储ClientSecret,当获取ClientSecret后,请妥善保管。 图2 获取ClientId和ClientSecret 获取OneAccess侧的认证信息。 登录OneAccess管理门户。 在导航栏中,选择“设置
公共返回码 返回码code 说明 200 success。 400 参数XX已存在,如参数userName已存在。 参数XX不能为空,如参数id不能为空。 参数XX超过指定长度,如参数name超过指定的长度。 参数XX格式不符合,如参数email格式不符合。 401 接口鉴权失败。
应用账号”,单击“添加账号”,授权访问应用的账号。如需根据策略给用户授权,请参考配置应用中应用账号的授权策略。 登录配置、访问控制、对象模型等设置请参考配置应用。 建立企业应用对OneAccess的信任关系 在企业应用中配置OneAccess的授权信息,以建立企业应用对OneAccess的信任。 获取OneAccess侧的认证信息。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
