-
基于OIDC协议的虚拟用户SSO - 统一身份认证服务 IAM
基于OIDC协议的虚拟用户SSO 联邦身份认证配置概述 步骤1:创建身份提供商 步骤2:配置身份转换规则 (可选)步骤3:配置企业管理系统登录入口 父主题: 身份提供商
-
虚拟用户SSO与IAM用户SSO的适用场景 - 统一身份认证服务 IAM
虚拟用户SSO 身份提供商中的用户登录华为云后,系统为其自动创建虚拟用户信息,并按照身份转换规则授权。虚拟用户SSO适用于以下场景: 出于管理成本考虑,您不希望在云平台创建和管理IAM用户,从而避免用户同步带来的工作量。
-
步骤4:登录验证 - 统一身份认证服务 IAM
父主题: 基于SAML协议的虚拟用户SSO
-
身份提供商概述 - 统一身份认证服务 IAM
由于联邦用户的身份信息(如邮件地址、手机号码)保存在企业IdP中,是企业IdP映射到华为云的虚拟用户,因此,联邦用户通过身份提供商功能访问华为云时有以下约束: 如果账号开启了敏感操作保护(登录保护或操作保护),对联邦用户不生效,即联邦用户在执行敏感操作时,不需要二次验证。
-
管理员创建IAM用户(推荐) - 统一身份认证服务 IAM
请求示例 管理员创建一个名为“IAMUser”的IAM用户,用户的邮箱地址是IAMEmail@huawei.com,手机号码是008612345678910,使用默认访问模式,可以编程访问和管理控制台访问。
-
步骤2:配置企业Idp - 统一身份认证服务 IAM
Active Directory Federation Services建立与华为云的联邦身份认证 使用Shibboleth IdP建立与华为云的联邦身份认证 使用Azure AD建立与华为云的联邦身份认证 使用OneAccess建立与华为云的联合认证 父主题: 基于SAML协议的虚拟用户
-
步骤3:配置身份转换规则 - 统一身份认证服务 IAM
父主题: 基于SAML协议的虚拟用户SSO
-
步骤2:配置身份转换规则 - 统一身份认证服务 IAM
父主题: 基于OIDC协议的虚拟用户SSO
-
步骤1:创建身份提供商 - 统一身份认证服务 IAM
父主题: 基于OIDC协议的虚拟用户SSO
-
查询账号操作保护策略 - 统一身份认证服务 IAM
mobile String 操作保护验证指定手机号码。示例:0086-123456789。 admin_check String 是否指定人员验证。on为指定人员验证,必须填写scene参数。off为操作员验证。 email String 操作保护验证指定邮件地址。
-
华为云账号、华为账号、IAM用户、企业联邦用户的关系 - 统一身份认证服务 IAM
企业联邦用户(虚拟IAM用户) 与华为云建立信任关系的第三方系统用户。用户可以使用第三方系统账号登录华为云,类似通过某社交账号登录游戏平台。 创建:账号在IAM创建身份提供商后,拥有第三方系统账号的企业用户登录华为云时,IAM自动创建虚拟IAM用户,即企业联邦用户。
-
(可选)步骤5:配置企业管理系统登录入口 - 统一身份认证服务 IAM
父主题: 基于SAML协议的虚拟用户SSO
-
敏感操作 - 统一身份认证服务 IAM
本节以“华为云App”为例介绍如何绑定虚拟MFA,如果您已安装其他MFA应用程序,请根据应用程序指引添加用户。如需了解有关解绑虚拟MFA、重置虚拟MFA的操作,请参见:虚拟MFA。 暂未升级华为账号、已升级华为账号绑定虚拟MFA的操作方法不同。
-
(可选)步骤3:配置企业管理系统登录入口 - 统一身份认证服务 IAM
父主题: 基于OIDC协议的虚拟用户SSO
-
获取IAM用户Token(使用密码) - 统一身份认证服务 IAM
其他相关操作 如果您开启了登录保护并设置登录保护为MFA验证,请参考获取IAM用户Token(使用密码+虚拟MFA)获取IAM用户Token。
-
安全设置类 - 统一身份认证服务 IAM
解绑虚拟MFA后,登录时仍需通过虚拟MFA进行登录验证
-
步骤2:创建IAM用户并登录 - 统一身份认证服务 IAM
当用户忘记密码时,可以通过此处绑定的邮箱或手机自行重置密码,如果用户没有绑定邮箱或手机号码,只能由管理员重置密码。 表1 用户信息 用户信息 说明 用户名 必填。IAM用户登录华为云的用户名,此处以“James”和“Alice”为例。
-
修改账号操作保护策略 - 统一身份认证服务 IAM
mobile 否 String 操作保护验证指定手机号码。示例:0086-123456789。 admin_check 否 String 是否指定人员验证。on为指定人员验证,必须填写scene参数。off为操作员验证。 email 否 String 操作保护验证指定邮件地址。
-
创建用户组并授权 - 统一身份认证服务 IAM
指定区域项目资源 BMS FullAccess 裸金属服务器的管理员权限 指定区域项目资源 IMS FullAccess 镜像服务的管理员权限 指定区域项目资源 AutoScaling FullAccess 弹性伸缩的管理员权限 指定区域项目资源 网络域运维 VPC FullAccess 虚拟私有云的管理员权限
-
多运维人员权限设置案例 - 统一身份认证服务 IAM
当用户忘记密码时,可以通过此处绑定的邮箱或手机自行重置密码,如果用户没有绑定邮箱或手机号码,只能由管理员重置密码。 表2 用户信息 用户信息 说明 用户名 必填。IAM用户登录华为云的用户名,此处以“James”和“Alice”为例。