检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
开通组织云服务并创建组织 IAM身份中心依赖组织云服务定义的组织来获取成员账号信息,所以使用IAM身份中心之前,必须先开通组织云服务并创建组织,以组织管理账号登录并使用IAM身份中心。 使用组织云服务之前,需要先开通企业中心功能,且只能使用企业中心的主账号创建组织,请参考以下步骤执行。 进入企业中心控制台。
client_id 是 String 在IAM身份中心注册的客户端的唯一标识符。 client_secret 是 String 为客户端生成的秘密字符串。客户端将使用此字符串在后续调用中获得服务的身份验证。 start_url 是 String 用户门户的URL。 响应参数 状态码: 200 表2
创建权限集 权限集是管理员创建和维护的权限模板,它定义了一个或多个IAM策略的集合。权限集简化了IAM身份中心的用户和用户组对账号访问权限的分配。可以实现批量的账号权限配置,无需再进行单独的权限配置。 创建权限集为必需操作,使用用户登录控制台访问多个账号下的资源时,必须为其关联权限集,否则登录后将无权访问任何资源。
IAM身份中心支持基于SAML协议的单点登录,如果您已经有自己的企业管理系统,同时您的用户需要使用您账号内的云服务资源,您可以使用IAM的身份提供商功能,实现用户使用企业管理系统账号单点登录华为云,这一过程称之为联邦身份认证。关于IAM身份提供商的具体信息请参见:身份提供商。 IAM身份中心支持连接到基于SAML
姓 用户的姓氏。 名 用户的名字。 显示名 IAM身份中心用户的显示名称。 自定义,可与其他IAM身份中心用户显示名重复,一般为用户的真实姓名。 (可选)进入“分配用户组(可选)”页面,勾选要加入的用户组,将用户加入到用户组。加入用户组后,用户将具备用户组的权限。配置完成后,单击页面右下角的“下一步”。
实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予IdentityCenter FullAccess的系统策略,但不希望用户拥有IdentityCenter FullAccess中定义的删除权限集权限,您可以
除IAM身份中心配置的所有数据。 由于IAM身份中心为项目级服务,您在当前区域启用IAM身份中心后,如需在其他区域使用,则需要删除当前区域的IAM身份中心数据,然后才可以在其他区域重新开通并使用IAM身份中心。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 >
单击左侧导航栏的“总览”,在总览页面可获取用户门户URL。 管理员在创建用户时,在向用户发送的密码设置邮件中或者生成的一次性密码页面中也可以获取用户门户URL。 图1 获取用户门户URL 使用浏览器打开用户门户URL,输入用户名并单击“下一步”。 用于登录的用户名和密码在创建
资源,则还需关联权限集和组织下的一个或多个成员账号,这样登录后才能访问组织下账号的资源,而资源具体的访问权限由权限集控制。具体请参见创建权限集和账号关联用户/组和权限集。 管理员开通IAM身份中心后,系统会自动生成唯一的用户门户URL,此管理员创建的所有用户均可使用此URL登录控
选择此模式后,IAM身份中心为用户提供在登录期间信任其设备的选项。用户登录期间勾选“是否信任此设备”选项后,IAM身份中心会提示用户输入MFA验证码一次,并分析用户后续登录的登录上下文(如设备、浏览器和IP地址)。后续登录时,如果用户的登录上下文未更改,将不触发MFA认证;如果用户的登录上下文更改,将提示用户进行MFA认证。
Object 表示服务提供商是否支持部分修改操作,及对部分修改操作的相关配置。 bulk Object 表示服务提供商是否支持批量操作,及对批量操作的相关配置。 filter Object 表示服务提供商是否支持过滤操作,及对过滤操作的相关配置。 changePassword Object
client_id 是 String 客户端的唯一标识。 client_secret 是 String 为客户端生成的秘密字符串。客户端将使用此字符串在后续调用中获得服务的身份验证。 code 否 String 从授权服务接收的授权代码。执行授权授予请求以获取对令牌的访问权限时需要此参数。 device_code
用户/用户组绑定关系管理 包括绑定关系的增删查、查询绑定关系ID、列举组中的用户、列举用户加入的组、查询用户是否为组的成员等接口。 SCIM用户管理 包括SCIM协议的用户增删改查等接口。 SCIM用户组管理 包括SCIM协议的用户组增删改查等接口。 服务提供商管理 包括SCIM协议的服务提供商配置查询接口。
1中获取的新证书,然后单击“导入证书”。 图1 导入证书 此时,IAM身份中心将信任通过您导入的两个证书签名的所有传入的SAML消息。 在外部身份提供商中激活新证书。 返回外部身份提供商网站并将您之前创建的新证书标记为主证书或已激活证书。此时,所有由外部身份提供商签名的SAML消息都应使用新证书。
使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见:API签名指南。 签名SDK只提供签名功能,与服务提供的SDK不同,使用时请注意。 父主题: 如何调用API
设置其他成员账号为委托管理员 管理向管理账号分配的任务 启用或禁用用户的访问权限 管理在管理账号中预置的权限集 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入设置页面。 在“管理”页签中单击“设置管理员账号”。
0)是一个由一组协议组成,用来传输安全声明的XML框架。SAML2.0是由标准化组织OASIS提出的用于安全操作的标准,是很多身份提供商 (IdP)使用的一种开放标准,关于SAML2.0的详细描述请参见:SAML 2.0技术概述。IAM支持使用SAML2.0协议进行联邦身份认证,因此与华为云建立联邦身份认证的企业IdP必须支持SAML2
当您创建用户/组和权限集完成后,您需要将组织下的一个或多个成员账号关联用户/组和权限集,这样使用用户登录后才能访问关联账号下的资源,这些资源通过关联的权限集授予具体访问权限。 当前仅支持为组织下的一个或多个成员账号关联用户/组和权限集,不支持直接选择整个组织或组织单元。 IAM身份中心的账号数据来自您的企业/组织在
务不同,登录的企业员工的职责也不同。需要针对不同账号配置不同员工的细粒度访问权限,确保企业的资源访问安全合规。 集中管理用户对多个账号资源的访问权限: 允许管理员使用不超过20个IAM权限策略创建权限集,实现批量的账号权限配置。 每个账号可以设置允许访问的用户和对应的权限集。 I
就是将tag-key替换为具体的属性键。 上述访问控制规则配置完成后,权限策略会根据您指定的资源标签键和属性键,对资源标签的值和属性值进行匹配校验,只有资源标签的值和属性值匹配成功的用户才会获得此权限集定义的资源访问权限。 策略示例 创建权限集的具体操作请参见:创建权限集。此处仅