检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在钉钉开放平台上创建企业应用 登录钉钉开放平台。 在钉钉开放平台,选择“应用开发 > 企业内部开发”,进入“创建企业内部应用”页面, 选择“创建应用”,应用类型选择“H5微应用”,输入“应用名称”如华为云,输入“应用描述”如系统浏览器打开华为云,其他选项默认即可,单击“确定创建”,创建成功。
保证企业用户根据权限访问受信任的云端和本地应用系统,并对异常访问行为进行有效防范。 图1 什么是应用身份管理服务 产品功能 统一身份管理 提供统一的用户、组织机构、用户组、应用、账号和凭证管理及设置,同时提供数据同步、密码策略及用户自服务,方便企业和管理员对用户身份进行全生命周期管理。
错误详情。 请求示例 获取加密公钥。请求头配置调用方系统为Android 10,调用方设备指纹为156aysdna213sac,调用方ip为10.10.10.1,应用标识为注册应用时分配的ClientId。 GET https://{domain_name}/api/v2/sdk/public-key
是否校验证书。仅在SSL为true或者StartTLS为true时有效。true: 校验证书,false: 不校验证书。证书必须是公网认证的证书,自签名证书不可以。 协议版本 系统默认TLSv1.2,推荐使用TLSv1.3、TLSv1.2。 *主体 进行企业AD服务器验证时使用的标识名,即拥有AD域读取权限的账号
在服务配置页面,单击“OIDC”。 在OIDC页面,单击“OIDC设置”。 获取jwks_uri地址。 在浏览器中输入jwks_uri地址,根据创建的OIDC应用中的签名加密方式获取密钥,如RS512取下图中红框内容。 使用该密钥对id_token进行验证。 父主题: 附录
隐式授权模式 默认关闭。适用于没有后端的应用,与授权码模式相比,省略了获取授权码code环节。 TOKEN签名算法 默认为RS256,对Token签名的算法,可在下拉框选择。用户需要与自身系统中使用的加密算法进行匹配。 Access Token有效期 授权令牌的有效期,默认2小时,以秒为单位。
分级管理员不属于超级管理组,可以属于超级管理组下的分级管理组,也可以不属于任何管理组。 系统管理员 系统管理员由华为云主账号在统一身份认证服务中创建,拥有对企业所有组织结构、用户、应用及除创建管理员以外其他管理门户菜单的管理权限。系统管理员不属于任何管理组。 普通用户 普通用户是
登录成功以后,在OneAccess侧的“用户 > 组织与用户”处可查看自动创建的用户。 当授权用户未关联系统用户时,在系统自动创建用户的前提是“未关联用户时 ”设置为“自动创建用户”,可参考表2。 自动创建的用户默认属于OneAccess侧的第一个根机构。 父主题: CAS认证登录
息内容,解密后有random、msg二个字段,其中msg即为明文消息内容。 signature String 消息签名,signature计算结合企业应用填写的签名密钥(signatureSaltValue)、请求中的timestamp、nonce、加密的消息体。 响应参数 表2
应用机构 1中定义的机构属性。 在“常规配置”页签,“删除系统组织”默认配置为删除应用机构,“禁用系统组织”默认配置为禁用应用机构。单击“编辑”可以修改配置,其中“删除系统组织”可以配置为禁用应用机构或不影响;“禁用系统组织”可配置为不影响。修改完成后,单击“保存”即可生效。 (
是否校验证书。仅在SSL为true或者StartTLS为true时有效。true: 校验证书,false: 不校验证书。证书必须是公网认证的证书,自签名证书不可以。 协议版本 系统默认TLSv1.2,推荐使用TLSv1.3、TLSv1.2。 主体 进行LDAP服务器验证时使用的账号名。传参带域名,如“admin@test
在CTS事件列表查看云审计事件 操作场景 用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 云审计控制台对用户的操作事件日志保留7天,过期自动删除,不支持人工删除。
请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-operating-sys-version 是 String 调用方操作系统版本,例如:Android 10。 X-device-fingerprint 是 String 调用方设备指纹,例如:156aysdna213sc50。
在OneAccess中获取签名公钥和算法密钥 OneAccess颁发的鉴权Token是经过加密和签发的,需要获取签名公钥和算法密钥给API提供者进行解密。 登录OneAccess管理门户。 在导航栏中,选择“设置 > 服务配置”,单击“API认证配置”,获取签名公钥和算法密钥,提供给API提供者。
是否校验证书。仅在SSL为true或者StartTLS为true时有效。true: 校验证书,false: 不校验证书。证书必须是公网认证的证书,自签名证书不可以。 协议版本 系统默认TLSv1.2,推荐使用TLSv1.3、TLSv1.2。 *主体 进行LDAP服务器验证时使用的标识名,如cn=admin,cn=test
择 未关联用户时 是 当用户使用OIDC认证源登录成功后,如未关联到系统用户时,可以根据该设置进行操作,如自动创建用户,可在下拉框选择。 如果您需要同时映射其他属性,如姓名,可以设置“未关联用户时”为“自动创建用户”,通过单击“添加映射”完成。可参考表2。 表2 映射参数 参数 说明
AD平台。 请确保您已了解企业AD系统,了解企业AD系统参数获取方式、熟练使用企业AD系统。 在OneAccess中添加AD身份源 在OneAccess中配置身份源参数,确保OneAccess可同步企业AD中的数据。 在OneAccess中创建身份源。 登录OneAccess管理门户。
附录 session token签名 对OIDC协议中的id_token进行验证 错误码
调用说明 接口调用说明 签名验签说明 验证回调地址 父主题: 通过事件回调方式同步数据至应用
登录各应用系统,为企业用户带来更简易便捷的登录方式和更好的用户体验。 本章节为您介绍配置Kerberos认证源的相关操作。 搭建AD服务器 以windows server 2012 r2搭建域服务器为例。具体请参考搭建AD服务器。 创建AD用户 在已搭建好的AD域中创建AD用户。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
