检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
访问控制 访问控制是对已授权用户的行为进行风险管控,如果用户未授权访问应用的权限,则策略对该用户不生效。配置应用访问控制策略前,需开启访问控制策略,即配置默认策略。 以下介绍配置自定义策略的方法。 登录OneAccess管理门户。 在导航栏中,选择“资源 > 应用”。 在应用页面,单击某应用进入应用信息页面。
管理对象模型 对象模型是OneAccess的数据同步至下游应用的基础,包括应用账号模型和应用机构模型。 在开启同步配置后,OneAccess已定义了账号名、姓名、应用机构等常规的内置属性,如需同步更多的属性,可通过在对象模型处添加属性并配置映射实现。同步时,需保持添加的属性名与应
IDO认证源,具体配置可以参考内置认证源。 单击“添加策略”,在弹出的“添加策略”页面,配置访问控制参数,单击“保存”添加策略完成,具体配置参数可以参考访问控制。 访问用户门户 用户访问用户门户,登录成功之后,进入二次认证页面,认证成功后进入用户门户。
提供集中统一的认证管理功能,包括:内置多种认证方式、认证策略灵活配置、访问控制、单点登录/登出等,帮助企业实现可信身份认证,提升信息安全。 智能访问控制 提供自适应的访问控制能力,基于访问上下文信息(访问时间/地点/设备等)和用户行为数据,使用设定的规则实时判断用户访问过程中的风险。如果发现风险,实时调度认证方式加强校验。
员,具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源。 如果您需要通过OneAccess单点登录华为云,请参考通过OneAccess免密登录单个华为云账号(SAML-虚拟用户SSO)。 OneAccess支持IAM用户通过华为云访问服务实例,方便企业管理员安全的控
发放实例,实例创建完成,会自动生成用户访问域名。 管理员登录管理门户 登录华为云控制台。 在服务列表中选择“管理与监管 > 应用身份管理服务 OneAccess”,进入应用身份管理服务控制台。 单击待访问的OneAccess实例。 单击要访问的“实例名称”,进入OneAccess实例管理门户。
拥有OneAccess管理门户的访问权限。 泛微(Token)集成需要OneAccess环境可以访问到泛微获取Token的地址,对接前需要打通网络。 泛微OA版本为E9 9.00.201114kb以上。 配置流程 泛微OA_E9平台获取参数。 登录泛微OA_E9平台,将访问的OA地址CN后缀修
选择左侧的“对象模型 > 应用机构模型”,单击开启应用机构。应用机构开启后不支持关闭。 系统内置属性可修改,不支持删除。 非内置属性支持修改和删除,单击目标属性操作列的“更新”或“删除”进行相应操作。 如果需要同步机构的其他属性, 选择左侧的“对象模型 > 应用机构模型”,在“属性定
用/删除超过设定的阈值数据,平台接到指令后,不会进行同步禁用/删除。 (可选)设置对象模型。 在身份源详情页面,选择“对象模型”页签,修改、添加、删除用户和机构的属性、映射规则。 表4 对象模型 参数 说明 用户对象 属性定义 AD身份源的用户属性。 映射定义 AD与OneAcc
SCIM(System for Cross-domain Identity Management),主要用于多租户的云应用身份管理。SCIM 2.0建立在一个对象模型上,所有SCIM对象都继承Resource,它有id、externalId和meta属性,RFC7643定义了扩展公
(可选)单击应用图标,在左侧导航栏选择“对象模型 > 应用机构模型”,单击开启应用机构。 开启应用机构是为了同步机构数据至企业应用。如果您不需要同步机构数据,可忽略此步骤。 (可选)配置机构属性与映射。如果您只需要同步机构的内置属性,可忽略此步骤。 在左侧导航栏选择“对象模型 > 应用机构模型”,在属性定义页
管理区域 您可以添加区域规则,方便您在访问控制中进行配置。 添加区域 登录OneAccess管理门户。 在导航栏中,选择“认证 > 区域范围”。 在区域范围页面,单击“添加区域”。 在添加区域页面,填写区域信息。 表1 区域信息 参数 说明 * 区域名称 企业部门的分布区域命名,如开发区域。支持自定义。
击“保存”,完成用户授权。 用户机构计算 当开启应用机构的自动授权后,应用账号模型未配置应用机构的映射时,单击“用户机构计算”后,应用账号列表显示其归属的应用机构。应用机构的自动授权请参考应用机构授权策略,应用账号模型的配置请参考应用账号模型。 登录OneAccess管理门户。 在导航栏中,选择“资源
应用管理 添加应用 启用/禁用/删除应用 通用信息 认证集成 同步集成 登录配置 访问控制 管理对象模型 授权管理 管理API权限 管理应用侧权限 安全设置 审计日志 父主题: 资源管理
企业版支持资源独立部署,提供更多访问控制、权限管理等功能,支持的最大用户数量为40,000,能够满足大型企业和政府的业务需求。支持包年/包月计费方式。 表1 产品规格功能说明 支持内容 基础版 专业版 企业版 增加用户容量 支持 支持 不支持 条件访问控制 不支持 支持 支持 自定义API访问控制 不支持
管理认证策略 OneAccess对用户的访问进行统一管理,其管理方式就是添加认证策略,通过认证策略给选定的用户设置访问时间、设备类型、区域范围等权限,满足设置的访问条件的用户可以设定登录时的验证方式如二次认证、拒绝、允许访问三种情况。 添加认证策略 登录OneAccess管理门户。
户数和上次同步数据总数的比值小于阈值则删除成功。 设置对象模型。 在身份源详情页面,单击“对象模型”,在该页签可添加、修改、删除用户和组织的属性、映射规则。两者配置方法相同,以用户添加属性和映射规则为例。 表3 对象模型 参数 说明 用户对象 属性定义 薪人薪事身份源的用户属性。
应用账号”,单击“添加账号”,授权访问应用的账号。如需根据策略给用户授权,请参考配置应用中应用账号的授权策略。 访问控制、对象模型等设置请参考配置应用。 插件代填的应用不进行用户授权,也可以由用户直接在用户门户中设置。 华为云配置示例 以华为云为例说明简单登录的配置方法。 访问华为云,打开F12,定位账号输入框,取唯一属性
下拉框按需选择。 授权用户 选择左侧的“授权管理 > 应用账号”,单击“添加账号”,授权访问应用的账号。如需根据策略给用户授权,请参考配置应用中应用账号的授权策略 登录配置、访问控制、对象模型等设置请参考配置应用。 建立企业应用对OneAccess的信任关系 在企业应用中配置On
图3 配置挂接URL 授权用户 选择左侧的“授权管理 > 应用账号”,单击“添加账号”,授权访问应用的账号。如需根据策略给用户授权,请参考配置应用中应用账号的授权策略 登录配置、访问控制、对象模型等设置请参考配置应用。 在云速邮箱中配置OneAccess对接信息 在企业应用中配置On
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
