正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
概述 欢迎使用应用身份管理服务OneAccess。OneAccess提供集中式的身份管理、身份认证、身份授权服务,保证合法用户以适当的权限访问受信任的云端和本地应用系统。 您可以使用本文档提供的API对OneAccess进行相关操作,包括: 管理类接口:提供给管理员进行用户、组织、应用等管理操作的接口。
对于包年/包月计费模式的资源,用户在购买时会一次性付费,服务将在到期后自动停止使用。 如果在计费周期内不再使用包年/包月资源,您可以执行退订操作,系统将根据资源是否属于五天无理由退订、是否使用代金券和折扣券等条件返还一定金额到您的账户。详细的退订规则请参见云服务退订规则概览。 如果您已开启“自动续费
调用说明 应用身份管理服务提供了REST(Representational State Transfer)风格API,支持您通过HTTPS请求调用。 父主题: 使用前必读
认证源 支持认证源有:微信、微博、QQ、支付宝、钉钉、Welink、企业微信、云之家、飞书、泛微eteams、AD、LDAP。 支持的认证源有:微信、微博、qq、支付宝、钉钉、Welink、企业微信、云之家、飞书、泛微eteams、SAML、OIDC、OAuth、CAS、AD、LDAP
参见费用账单。 欠费 在使用OneAccess服务时,账户的可用额度小于待结算的账单,即被判定为账户欠费。欠费后,可能会影响OneAccess服务的正常运行,需要及时充值。详细介绍请参见欠费说明。 停止计费 当OneAccess服务不再使用时,可以将其退订,从而避免继续收费。详细介绍请参见停止计费。
OneAccess同时支持本地认证和第三方认证机制,客户在配置认证方式时,建议选择安全的认证方式,如因客户选择的不安全认证方式导致安全事故,且事故后无法清晰界定责任的,华为云将不承担任何责任。 下面以Welink为例说明个人社交认证的配置方法。如需了解认证源配置方法,请参考集成认证源。 添加认证源 请确保管理员
户对用户和应用进行详细配置和管理,用户可以在OneAccess用户门户单点登录访问已授权可信应用。 图1 入门使用流程 在使用应用身份管理服务前,管理员需要参考购买实例购买实例。 管理员购买OneAccess实例后,参考管理员登录管理门户登录至OneAccess管理门户。 组织用
API之前需要先到OneAccess获取鉴权Token,在使用API时携带该鉴权Token,API提供者根据鉴权Token判断是否可以提供服务,用以实现API的授权管理功能。 图1 场景简介图 前提条件 请确保您已拥有OneAccess管理门户的访问权限。 在OneAccess中添加企业应用
在OneAccess管理门户中添加企业应用,配置企业应用的元数据文件后,可以建立OneAccess对企业应用SP的信任关系。使用企业已有账号登录华为云,具体操作请参考通过OneAccess免密登录华为云。 登录OneAccess管理门户。 在导航栏中,单击“资源 > 应用”。 在企业应用页面,单击自建应用下的“添
企业管理员在OneAccess管理门户负责用户(组)、组织、应用及API等实体的管理。 系统管理员 系统管理员由企业管理员在统一身份认证服务中创建,拥有对企业所有组织结构、用户、应用及除创建管理员以外其他管理门户菜单的管理权限。 普通用户 普通用户是企业应用使用者,包含企业员工
ClientSecret 配置1中获取的ClientSecret。 身份认证地址 配置2中获取的OneAccess的认证授权地址。 回调地址 官网提供的回调地址,如:${BI 服务地址}/standard-oauth2/authenticate 。 AccessToken获取地址 配置2中获取的OneAccess的获取token地址。
管理员添加用户 本节介绍管理员在OneAccess管理门户添加用户的操作步骤,用户将拥有独立的OneAccess帐号。 如果需要添加大量的用户,建议采用数据导入、身份源同步批量添加方式。 数据导入:将用户信息按照模板进行整理,并将其导入OneAccess,即可批量导入用户。方法请参见用户导入。
使用前必读 OneAccess使用对象有企业管理员和普通用户两种。 企业管理员:主账号或拥有OneAccess管理权限的用户。企业管理员负责用户(组)、组织、应用、及API等实体的管理。如果您是企业管理员,请参考企业管理员指南使用OneAccess。 普通用户:企业应用使用者,包
在调用接口时,请求头中需要填入用户访问域名{domain_name},需要获取此域名。 获取用户访问域名 该域名需由创建人在应用身份管理服务控制台获取。步骤如下: 管理员登录应用身份管理服务控制台。 单击用户访问域名后的复制,获取用户访问域名。 图1 获取用户访问域名 父主题: 使用前必读
保存机构名的一个或多个属性。在进行验证时,将使用这些属性查找要验证的机构名的 LDAP 条目。 故障转移服务器 列出首选服务器发生故障时将用于故障转移的所有服务器。如果首选服务器发生故障,JNDI 将连接到列表中的下一个可用服务器。按照 "ldap://ldap.example.com:389/" 格式(符合
故障转移服务器 列出首选服务器发生故障时将用于故障转移的所有服务器。如果首选服务器发生故障,JNDI 将连接到列表中的下一个可用服务器。按照 "ldap://ldap.example.com:389/" 格式(符合RFC 2255中所述的标准AD v3 URL)列出所有服务器。只有
如何开发映射脚本 OneAccess支持将企业的组织与用户属性映射至应用系统。可通过映射脚本自动生成应用的属性值,同时,可限制映射至应用的属性值。 下面将为您介绍如何开发映射定义的脚本。 代码规则 在编写映射脚本时,OneAccess对脚本做了一些限制。包括禁止使用Java cl
修改绑定手机号:用户可以修改账号绑定的手机号。 激活动态口令:动态口令是遵循基于时间的一次性密码(TOTP)。 绑定账号。 打开微信小程序搜索OTP,比如进入“竹云城堡”小程序,单击“扫一扫”扫描二维码即可。 验证动态码,输入OTP小程序中产生的动态码。 单击“确定”完成动态命令激活。 若无法扫描二维码
内置认证源 概述 本文为您介绍通过FIDO2认证源(人脸、指纹等生物认证)来登录OneAccess平台集成的应用系统。您可以在OneAccess平台中配置FIDO2认证源,在登录页面选择FIDO2登录方式登录各应用系统,从而实现单点登录的效果,在给用户带来更简易便捷的登录方式的同时提供更安全可靠的登录体验。
自动续费 自动续费可以减少手动续费的管理成本,避免因忘记手动续费而导致OneAccess实例被自动删除。自动续费的规则如下所述: OneAccess实例自动续费周期根据您开通自动续费的途径不同,遵循不同的规则。 在OneAccess实例到期前均可开通自动续费,到期前7日凌晨3:0