检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
云平台创建一个与企业IdP对应的身份提供商程序。然后,建立联邦认证的双方需首先建立互信关系,双方交换元数据文件,在企业IdP中上传华为云元数据文件,在华为云上传企业IdP的元数据文件。 图2 交换Metadata文件模型 配置企业IdP参数,规定在交互过程中,企业IdP向华为云发送哪些信息。
华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。
云平台创建一个与企业IdP对应的身份提供商程序。然后,建立联邦认证的双方需首先建立互信关系,双方交换元数据文件,在企业IdP中上传华为云元数据文件,在华为云上传企业IdP的元数据文件。 图2 交换Metadata文件模型 配置企业IdP:配置企业IdP参数,规定在交互过程中,企业IdP向华为云发送哪些信息。
访问密钥(由IAM用户输入),建议访问方式选择编程访问和管理控制台访问,凭证类型为密码和访问密钥。例如IAM用户在控制台使用云数据迁移CDM服务创建数据迁移,需要通过访问密钥进行身份验证。 授予最小权限 最小权限原则是标准的安全建议,您可以使用IAM提供的系统权限,或者自己创建自
将IAM服务本身的权限做了角色或者细粒度划分,角色和策略明确定义了IAM服务允许或者拒绝的用户操作。例如拥有IAM ReadOnlyAccess的用户和用户组,只拥有IAM服务数据的只读权限。IAM也支持自定义策略划分IAM服务权限。 IAM权限 ACL 设置访问控制策略,限制用户只能从特定IP地址区间、网段及VPC
访问密钥(由IAM用户输入),建议访问方式选择编程访问和管理控制台访问,凭证类型为密码和访问密钥。例如IAM用户在控制台使用云数据迁移CDM服务创建数据迁移,需要通过访问密钥进行身份验证。 选择“凭证类型”。 图4 选择凭证类型 表3 配置凭证类型 凭证类型 说明 访问密钥 创建
委托名,长度不大于64位。 domain_id 是 String 委托方账号ID。 trust_domain_id 否 String 被委托方账号ID。trust_domain_id和trust_domain_name至少填写一个,若都填写优先校验trust_domain_name。 trust_domain_name
参数类型 描述 domain_id 否 String 委托方A的账号ID。“domain_id”与“domain_name”至少填写一个,建议选择“domain_id”。 委托方A可以参考获取账号、IAM用户、项目、用户组、区域、委托的名称和ID获取账号ID。 domain_name 否
"email": "IAMEmail@huawei.com", "create_time": "2020-01-06T08:05:16.000000", "xdomain_id": "", "xdomain_type": ""
IAM用户的token(无需特殊权限)。 响应参数 表2 响应Body参数 参数 参数类型 描述 domains Array of objects 账号信息列表。 links Object 资源链接信息。 表3 domains 参数 参数类型 描述 enabled Boolean 是否启用账号,true
"email": "IAMEmail@huawei.com", "create_time": "2024-03-28T03:42:08.000000", "is_domain_owner": false, "xdomain_id":
参数类型 描述 trust_domain_id 否 String 被委托方账号ID。如果trust_domain_id和trust_domain_name都填写,则优先校验trust_domain_name。四个参数至少填写一个。 trust_domain_name 否 String
/v3/OS-FEDERATION/domains 请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 联邦认证的unscoped token。 响应参数 表2 响应Body参数 参数 参数类型 描述 domains Array of objects
/v3/domains/{domain_id}/groups/{group_id}/roles/{role_id} iam:permissions:revokeRoleFromGroupOnDomain - - 查询用户组是否拥有全局服务权限 HEAD /v3/domains/{do
联邦unscoped token的ID。 表6 auth.scope 参数 是否必选 参数类型 描述 domain 否 Object 取值为domain时,表示获取的token可以跨区域使用,domain支持id和name,二选一即可。 project 否 Object 取值为project时,
是否必选 参数类型 描述 domain 否 object domain scope详情,与project二选一。 project 否 object project scope详情,与domain二选一。 表6 GetIdTokenScopeDomainOrProjectBody 参数
Token的使用范围,取值为project或domain,二选一即可。 说明: 如果您将scope设置为domain,该Token适用于全局级服务;如果将scope设置为project,该Token适用于项目级服务。 如果您将scope同时设置为project和domain,将以project参数为准,获取到项目级服务的Token。
是否必选 参数类型 描述 domain 否 Object 取值为domain时,表示获取的Token可以作用于全局服务,全局服务不区分项目或区域,如OBS服务。如需了解服务作用范围,请参考系统权限。domain支持id和name,二选一即可,建议选择“domain.id”。 project
myhuaweicloud.com/v3/domains/{domain_id}/groups/{group_id}/roles 响应示例 { "links":{ "self":"https://iam.myhuaweicloud.com/v3/domains/d78cbac1
描述 catalog Array of objects 服务目录信息。 domain Object 被校验token的IAM用户所属的账号信息。如果获取token时请求体中scope参数设置为domain,则返回该字段。 expires_at String token过期时间。 说明:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
