检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如表2所示,除了要求用户登录出示凭证并验证合法性,IAM还提供登录保护机制,支持登录验证策略,防止用户信息被非法盗用。 表2 登录保护和登录验证策略 登录保护手段 简要说明 详细介绍 登录保护 除了在登录页面输入用户名和密码外(第一次身份验证),用户登录华为云还需要在登录验证页面输入验证码(第二次身份验证)。
大写字母、小写字母、数字和特殊字符。 必须满足账户设置中密码策略的要求。 新密码不能与当前密码相同。 email 否 String IAM用户新邮箱,需符合邮箱格式,长度小于等于255字符。 areacode 否 String 国家码。必须与手机号同时存在。中国大陆为“0086”。 phone
设置”包括“基本信息”、“敏感操作”、“登录验证策略”、“密码策略”、“访问控制”。本章为您介绍“安全设置”的使用对象和如何进入“安全设置”。 使用对象 表 使用对象为安全设置中不同页签下对应的不同使用对象。 表1 使用对象 功能 使用对象 基本信息 所有IAM用户可以修改,华为账号请参考基本信息管理。
基于SAML协议的虚拟用户SSO配置概述 步骤1:创建身份提供商 步骤2:配置企业Idp 步骤3:配置身份转换规则 步骤4:登录验证 (可选)步骤5:配置企业管理系统登录入口 父主题: 身份提供商
面中看到上次登录成功时间,最近登录提示可以帮助用户查看是否存在异常登录信息,如果存在不是本人的登录信息,建议立即修改密码。 最近登录提示默认关闭,管理员可以选择开启。 登录验证提示 管理员可以在最近登录提示中进行公告,例如欢迎语,或者提示用户谨慎删除资源等。 登录验证提示默认关闭,管理员可以选择开启。
lice的身份登录IAM。 图3 用户转换模型 登录验证:发起单点登录,测试是否能成功从企业IdP跳转登录华为云。 (可选)配置企业管理系统登录入口:将华为云的访问入口配置到企业管理系统中,用户可通过登录企业管理系统直接访问华为云,如图4所示。 图4 配置单点登录模型 企业管理系统与华为云联邦身份认证交互流程
3:配置身份转换规则。 登录验证:在企业管理系统中配置单点登录,使企业用户可以通过企业管理系统中的华为云登录入口直接访问华为云,方法请参考:步骤4:登录验证。 父主题: 基于SAML协议的虚拟用户SSO
图3 用户转换模型 登录验证:发起单点登录,测试是否能成功从企业IdP跳转登录华为云。 (可选)配置企业管理系统登录入口:将华为云的访问入口配置到企业管理系统中,用户可通过登录企业管理系统直接访问华为云,如图4所示。 图4 配置单点登录模型 企业管理系统与华为云联邦身份认证交互流程
如何修改账号或IAM用户密码 主动修改密码 如果您的华为云账号暂未升级成华为账号,需要主动修改密码,可以在“基本信息”中修改自己的密码。 如果您的华为云账号已升级成华为账号,需要主动修改密码,可以在“基本信息”中单击“华为账号信息”右侧的“前往管理”,前往华为账号网站>账号与安全>安全中心,重置账号密码。
idp_login_url 企业管理系统登录地址。 service 需要访问的华为云服务地址。 logintoken 自定义代理登录票据。 您可以参考以下Demo示例创建云服务登录地址:使用token方式创建云服务登录地址 云服务代理登录地址中包含从IAM获得的登录票据loginToken,l
授权对华为云资源进行精细的访问控制,通过委托进行跨账号的资源操作与授权,也可以通过身份提供商使用企业已有账号登录华为云。 IAM用户 创建IAM用户 给IAM用户授权 IAM用户登录 修改IAM用户密码 用户组及授权 创建用户组并授权 创建自定义策略 委托 委托其他华为云账号管理资源
步骤4:登录验证 登录验证 按照登录请求发起方可将联邦用户登录方式分为两类: Idp侧登录:用户从IdP侧(企业自己的身份提供商侧)发起登录请求,例如从Microsoft Active Directory(AD FS)、Shibboleth侧发起登录华为云控制台的请求。 SP侧登
图11 创建成功 步骤3:IAM用户登录并验证权限 IAM用户登录有多种方式,如下步骤仅讲述其中一种,更多登录方式请参见:登录华为云。 IAM用户James或Alice在华为云登录页面,单击右下角的“IAM用户登录”。 在“IAM用户登录”页面,输入A公司账号名Company-A、IAM用户名及用户密码。
使用token方式创建云服务登录地址 该章节提供使用token方式创建登录华为云云服务的联邦代理登录地址的示例代码。 Java示例代码 以下示例说明了如何使用java编程的方式创建云服务登录地址FederationProxyUrl,该示例基于华为云 Java 软件开发工具包(Java
编程访问和管理控制台 密码和访问密钥 选择“登录保护”设置。仅访问方式勾选管理控制台访问时,可以开启。 图5 选择登录保护 开启登录保护(推荐):开启登录保护后,IAM用户登录时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该
CTS支持的IAM操作列表 操作名称 资源类型 事件名称 用户登录 user login 用户登录失败(华为账号登录失败不记录) user loginFailed 用户登出 user logout 二维码登录 user scanQRCodeLogin 二维码登录失败 user scanQRCodeLoginFailed
如果您已经有自己的身份认证系统,您不需要在华为云重新创建用户,可以通过身份提供商功能直接访问华为云,实现单点登录。 委托其他账号或者云服务管理资源 通过委托信任功能,您可以将自己的操作权限委托给更专业、高效的其他账号或者云服务,这些账号或者云服务可以根据权限代替您进行日常工作。 设置账号安全策略 通过设置登录验证策
使用企业已有账号登录华为云 当您希望本企业员工可以使用企业内部的认证系统登录华为云,而不需要在华为云中重新创建对应的IAM用户,您可以使用IAM的身份提供商功能,建立您所在企业与华为云的信任关系,通过联合认证使员工使用企业已有账号直接登录华为云,实现单点登录。 IAM访问方式 您可以通过以下任何一种方式访问IAM。
基于SAML协议的IAM用户SSO配置概述 步骤1:创建身份提供商 步骤2:配置企业IdP 步骤3:配置外部身份ID 步骤4:登录验证 (可选)步骤5:配置企业管理系统登录入口 父主题: 身份提供商
基于OIDC协议的虚拟用户SSO 联邦身份认证配置概述 步骤1:创建身份提供商 步骤2:配置身份转换规则 (可选)步骤3:配置企业管理系统登录入口 父主题: 身份提供商
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
