检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
心可以: 集中创建和管理用户: 允许管理员集中创建用户,分配登录密码,并对其进行分组管理。 允许用户使用特定用户名和密码登录统一的用户门户网站,访问为其分配的多个账号下的资源,无需多次登录。 连接到基于SAML 2.0协议的外部身份提供商系统,例如微软AD和Okta: 允许管理员将IAM身份中心使用的SAML
以及所有用户对组织下账号的访问权限。管理员集中创建用户,分配登录密码,并对其进行分组管理。允许用户使用特定用户名和密码登录统一的用户门户网站,访问为其分配的多个账号下的资源,无需多次登录。且通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。 在调
以及所有用户对组织下账号的访问权限。管理员集中创建用户,分配登录密码,并对其进行分组管理。允许用户使用特定用户名和密码登录统一的用户门户网站,访问为其分配的多个账号下的资源,无需多次登录。且通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。 如何访问IAM身份中心
工作: 注册华为账号并开通华为云且完成实名认证 开通组织云服务并创建组织 申请公测并开通IAM身份中心 注册华为账号并开通华为云且完成实名认证 如果您已有一个华为云账号,请跳到下一个任务。如果您还没有华为云账号,请参考以下步骤创建。 打开华为云官网,单击页面右上角的“注册”。 根据提示信息完成华为账号注册。
计费说明 IAM身份中心为免费服务,使用IAM身份中心的相关功能不收取任何费用。账号下资源自身的使用费用请参见各服务的计费说明。
注册MFA设备 您必须具有对用户MFA设备的物理访问权限才能注册该设备。例如,您需要为在智能手机上运行MFA设备的用户配置MFA,在这种情况下,您必须有用户的智能手机才能完成该向导。因此建议允许用户可以自行添加和管理自己的MFA设备,具体请参见允许用户自行注册MFA设备。 注册MFA设备
如果发现现有SAML证书出现泄露或处理不当的迹象时,应立即删除并轮换该证书。 证书轮换 从外部身份提供商处获取新证书。 前往外部身份提供商网站下载SAML 2.0证书,确保是以PEM编码格式下载证书文件。大多数身份提供商都允许创建多个SAML 2.0证书,它们很可能会被标记为已禁用或未激活状态。
注册客户端 功能介绍 向IAM身份中心注册客户端,这允许客户端启动设备授权,输出应该持久化以便于身份验证请求重用。 URI POST /v1/clients 请求参数 表1 请求Body参数 参数 是否必选 参数类型 描述 client_name 是 String 客户端名称。 最小长度:1
允许用户自行注册MFA设备 您可以参考以下步骤允许用户可以自行添加和管理自己的多因素认证(MFA)设备。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入设置页面。 选择 “网络和安全”
根据业务需要选择用户登录时是否必须拥有已注册的MFA设备。 要求在登录时注册MFA设备 如果您希望要求尚未注册MFA设备的用户在成功进行密码身份验证后,在登录期间自行注册设备,请使用此选项。如何注册MAF设备请参见注册MFA设备。 阻止登录 强制每个用户在登录时使用MFA设备验证,否则将阻止其登录。
安全密钥和内置身份验证器: FIDO2是基于公钥密码学的标准,它包含了CTAP2和WebAuthn标准。FIDO凭证具有防网络钓鱼功能,因为它对于网站来说具有唯一性。 安全密钥指是兼容FIDO2的外部硬件身份验证器,您可以购买并通过USB、BLE或NFC连接到设备。当您被提示输入MFA时
Instance StartIdentityCenter 关闭IAM身份中心服务 Instance DeleteIdentityCenter 注册Region Instance RegisterRegion 更新单点登录配置 Instance UpdateSsoConfiguration
基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的
请求URL 参数 说明 URI-scheme 传输请求的协议,当前所有API均采用HTTPS协议。 Endpoint 承载REST服务端点的服务器域名或IP,不同服务在不同区域,Endpoint不同,可以从地区和终端节点处获取。例如IAM身份中心服务的Endpoint为identitycenter
客户端管理 注册客户端 父主题: API
管理多因素认证(MFA) 注册MFA设备 管理用户的MFA设备 父主题: 多因素认证(MFA)
多因素认证(MFA) 启用MFA 选择MFA验证类型 配置MFA强制执行 允许用户自行注册MFA设备 父主题: 多因素认证(MFA)
请检查请求ID是否正确。 400 IIC.1214 Region not registered in the service. 未注册区域。 请检查是否注册了区域。 403 IIC.1215 This operation is available only for the organization's
/v1/device/authorize 请求参数 表1 请求Body参数 参数 是否必选 参数类型 描述 client_id 是 String 在IAM身份中心注册的客户端的唯一标识符。 client_secret 是 String 为客户端生成的秘密字符串。客户端将使用此字符串在后续调用中获得服务的身份验证。
设备的信任记录有效时长为7天,选择信任设备7天后,需重新进行MFA认证。 每次登录时(始终开启) 选择此模式后,IAM身份中心要求具有注册MFA设备的用户每次登录时都会得到提示。如果您的组织或合规性策略要求用户每次登录用户门户时完成MFA认证,则应使用此模式。 从不(禁用)