检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
常用系统权限设置案例 请参考以下文档给IAM用户设置常见云服务的访问权限。 设置弹性云服务器(ECS)的权限 设置弹性负载均衡(ELB)的权限 设置关系型数据库(RDS)的权限 设置云硬盘(EVS)的权限 设置云监控(CES)的权限 设置云容器引擎(CCE)的权限 设置对象存储服务
系统策略更名详情 现对系统策略(即细粒度策略类型)名称进行调整,新的策略名称将于2020/2/6 22:30:00(北京时间)正式生效。本次调整仅涉及对系统策略名称的修改,不会影响您的业务,请放心使用。原始系统策略为Version 1.0,目标系统策略为Version 1.1,当前
(可选)步骤5:配置企业管理系统登录入口 将身份提供商的登录链接配置到企业管理系统上,企业用户通过该链接访问华为云。 华为云提供企业联邦用户登录入口,如您未配置企业管理系统登录入口,企业联邦用户可以通过该方法登录华为云,详情请参考:企业联邦用户登录。 前提条件 已在本系统创建身份提供商
(可选)步骤5:配置企业管理系统登录入口 将身份提供商的登录链接配置到企业管理系统上,企业用户通过该链接访问华为云。 华为云提供“企业联邦用户登录”入口,如您未配置企业管理系统登录入口,企业联邦用户可以通过该方法登录华为云,详情请参考:企业联邦用户登录。 前提条件 已在华为云创建身份提供商
(可选)步骤3:配置企业管理系统登录入口 将身份提供商的登录链接配置到企业管理系统上,企业用户通过该链接访问华为云。 华为云提供企业联邦用户登录入口,如您未配置企业管理系统登录入口,企业联邦用户可以通过该方法登录华为云,详情请参考:企业联邦用户登录。 前提条件 已在本系统创建身份提供商
权限管理 如果您需要针对统一身份认证服务,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用IAM进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。 通过IAM,您可以在账号中给员工创建IAM用户,并授权控制他们对资源的访问范围
基于SAML协议的虚拟用户SSO 基于SAML协议的虚拟用户SSO配置概述 步骤1:创建身份提供商 步骤2:配置企业Idp 步骤3:配置身份转换规则 步骤4:登录验证 (可选)步骤5:配置企业管理系统登录入口 父主题: 身份提供商
认证鉴权 调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 Token认证:通过Token认证通用请求。 (推荐)AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。 Token认证 Token的有效期为24小时
SP initiated方式 Openstack和Shibboleth是被广泛使用的一套开源联邦身份认证解决方案,提供了强大的单点登录能力,将用户连接到企业内外的各种应用服务。本章介绍通过Openstack Client和ShibbolethECP Client获取联邦认证Token
华为云账号、华为账号、IAM用户、企业联邦用户的关系 本文为您介绍华为云常见账号的基本概念、各账号之间的关系和区别。 华为云有哪些账号 华为云账号体系主要分为两类: 账号:在华为云注册或创建的账号。拥有华为云最高权限,可以访问拥有的所有资源并为资源付费。账号包括华为账号、华为云账号
步骤4:登录验证 登录验证 按照登录请求发起方可将联邦用户登录方式分为两类: Idp侧登录:用户从IdP侧(企业自己的身份提供商侧)发起登录请求,例如从Microsoft Active Directory(AD FS)、Shibboleth侧发起登录华为云控制台的请求。 SP侧登录
查看授权记录 如果您需要查看当前账号下的所有授权关系,可以进入“权限管理>授权管理”页面。IAM权限管理为您呈现账号中的所有授权关系,支持使用“策略名”、“用户名/用户组名/委托名”、“项目区域”、“企业项目(已开启企业项目)”“主体类型”为过滤条件查看指定授权关系。 如果您已开通并使用企业项目
IdP initiated方式 本章以“Client4ShibbolethIdP”脚本为例,介绍IdP initiated方式获取联邦认证Token的方法。“Client4ShibbolethIdP”脚本模拟用户在浏览器上登录企业IdP系统,通过呈现浏览器提交的表单数据和客户端实现的对比
IAM用户登录失败怎么办 问题描述 IAM用户登录系统时提示“用户名或密码错误”、“您的管理员已设置了控制台ACL规则,禁止您所在的终端登录控制台”等,使IAM用户登录失败。 问题排查 系统提示“用户名或密码错误” 可能原因:IAM用户登录时,未切换IAM登录入口。 解决方法:单击
如何限制IAM用户从特定IP访问控制台 通过设置访问控制,限制IAM用户只能从特定IP地址区间访问系统,提高用户信息和系统的安全性。 操作步骤 登录统一身份认证服务控制台。 在左侧导航窗格中,选择“安全设置”,单击“访问控制”页签。 访问控制仅对账号下的IAM用户生效,对账号本身不生效
自定义策略使用样例 配合较高权限系统策略使用 如果您给IAM用户授予较高权限的系统策略,例如“FullAccess” ,但不希望IAM用户拥有某个服务的权限,例如云审计服务。您可以创建一个自定义策略,并将自定义策略的Effect设置为Deny,然后将较高权限的系统策略和自定义策略同时授予用户
使用IAM授权的云服务 IAM为华为云其他服务提供认证和授权功能,在IAM中创建的用户,经过授权后可以根据权限使用系统中的其他服务。IAM支持的所有服务权限,请参见:系统权限。对于不支持使用IAM授权的服务,账号中创建的IAM用户无法使用该服务,请使用账号登录使用该服务。支持使用IAM
调整配额 什么是配额? 为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限制。如您最多可以创建多少个IAM用户、用户组等。 如果当前资源配额限制无法满足使用需要,您可以申请扩大配额。 怎样查看我的配额? 登录管理控制台。 单击管理控制台左上角的,选择区域和项目
策略鉴权规则 用户在发起访问请求时,系统根据用户被授予的访问策略中的action进行鉴权判断。鉴权规则如下: 图1 系统鉴权逻辑图 用户发起访问请求。 系统在用户被授予的策略中寻找请求对应的action,优先寻找Deny指令。如果找到一个适用的Deny指令,系统将返回Deny决定。
身份提供商概述 IAM支持基于SAML、OIDC协议的单点登录,如果您已经有自己的企业管理系统,同时您的用户需要使用您账号内的云服务资源,您可以使用IAM的身份提供商功能,实现用户使用企业管理系统账号单点登录华为云,这一过程称之为联邦身份认证。 基本概念 表1 基本概念 概念 说明
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
