检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
其中,timestamp为当前服务器时间戳,可调用获取服务器时间戳接口获取,nonce为随机字符串,每次签名请重新生成,可为当前时间戳的16进制。 获取公钥publicKey,通过调用获取公钥接口获取。 签名算法为RSA公钥加密,填充模式为RSA/ECB/OAEPWithSH
将AD域数据同步到WeLink 概述 本文介绍如何实现 AD 域的身份数据自动同步到WeLink。 OneAccess可以全面打通AD到WeLink的身份数据同步链路:定时同步AD域数据,自动变更WeLink通讯录数据。通过该能力,企业可以将AD作为传统的身份管控来源,并自动地向WeLink以及其他
Access Protocol),即轻量目录访问协议。 它是一种树状结构的组织数据,可以简单理解成一个存储用户和组织信息的树形结构数据库。单点登录是LDAP的主要使用场景之一,即用户只在公司计算机上登录一次后,便可以自动在公司内部网上登录。 表1 主要术语 术语 说明 ou 全称 Organization
邮件网关是OneAccess针对重置用户密码场景,提供给用户的一种通过邮箱获取信息的方式。开启邮件网关后,管理员重置用户密码时,可以选择由OneAccess产生随机密码,并通过邮件的方式发送给用户,该用户将收到邮件密码,登录成功后可以进行密码重置。 本文主要介绍OneAccess配置邮件网关的方法。 前提条件 开启邮
OneAccess具有同步身份数据的功能,数据传递的关系模型可以理解为“上游 - 中游 -下游”。其中,上游是企业管理的核心身份源,中游是OneAccess平台,下游是需要和上游保持同步的应用系统。通过该模型,OneAccess可将上游的身份数据实时同步到下游应用系统,确保人员的入离调转行为可以准确的传递到
出现新添加的组织。 表1 组织信息 组织信息 说明 组织类型 组织的类型,有部门、单位、公司、集团四种类型。 组织编码 组织的唯一标识,全局不可重复。 组织名称 组织的名称,同一层级的组织名称不允许重复。 显示顺序 组织在同层级组织中的显示顺序。 上级组织 创建组织的上级组织,创建顶层组织时则置空。
在应用身份管理服务列表页面,复制待查看的实例名称。 进入“费用中心 > 流水和明细账单”页面。 选择“明细账单”,在筛选条件中选择“资源名称”,并输入2中复制的资源名称,单击图标即可搜索该资源的账单。 图1 查询资源账单 可以看到OneAccess实例的费用,这取决于OneAccess实例的计费项,具体请参见OneAccess
管理认证策略 OneAccess对用户的访问进行统一管理,其管理方式就是添加认证策略,通过认证策略给选定的用户设置访问时间、设备类型、区域范围等权限,满足设置的访问条件的用户可以设定登录时的验证方式如二次认证、拒绝、允许访问三种情况。 添加认证策略 登录OneAccess管理门户。
s平台集成的应用系统。您可以在OneAccess平台中配置FIDO2认证源,在登录页面选择FIDO2登录方式登录各应用系统,从而实现单点登录的效果,在给用户带来更简易便捷的登录方式的同时提供更安全可靠的登录体验。 配置流程 该配置流程以用户PC端访问用户门户为例,您可以按需选择应用和配置应用的认证方式,配置流程类似。
应用账号”,单击“添加账号”,勾选需要同步的用户。如需根据策略给用户授权,请参考配置应用中应用账号的授权策略。 图3 添加账号 选择左侧的“授权管理 > 同步事件”,可以查看上述的同步记录。同时,对于组织、用户的编辑和删除等操作,也可以进行查看并过滤。 图4 查看同步事件 在LDAP中查看上述已同步的数据。 父主题:
本文介绍如何实现AD域的身份数据自动同步到钉钉。 OneAccess可以全面打通AD到钉钉的身份数据同步链路:定时同步AD域数据,自动变更钉钉通讯录数据。通过该能力,企业可以将AD作为传统的身份管控来源,并自动地向钉钉以及其他下游应用同步身份数据,实现“一处修改,处处生效”的效果。 配置流程
CAS是一个基于HTTP2、HTTP3的协议,要求每个组件都可以通过特定的URL访问。通过CAS协议将OneAccess作为身份服务提供商,使第三方应用可以读取OneAccess的用户账号数据。支持CAS1.0、CAS2.0、CAS3.0三种协议。 从抽象的角度来看,主要包括CAS协议和授权流程。
当企业需要配置更多的用户信息,并将其同步至下游应用系统时,可以通过用户属性定义添加用户属性,可通过基本信息、工作信息两个分组设置用户属性,您还可以根据需求自行添加自定义分组。 基本信息:用户的个人属性,如用户名、手机号等。已设置的基本属性不允许删除,只允许新增和修改。 工作信息:用户的工作属
面,在页面左侧选择“账号安全”进入“账号安全”页面,可以修改登录密码、绑定手机号、激活动态口令。 修改登录密码:用户可以修改账号的登录密码。 修改绑定手机号:用户可以修改账号绑定的手机号。 激活动态口令:动态口令是遵循基于时间的一次性密码(TOTP)。 绑定账号。 打开微信小程序
在OneAccess管理门户,可创建一人一组织,也可创建一人多组织的用户即一个用户可以属于多个组织。 当创建的用户属于多组织时,如当用户属于组织A和B,且组织A有应用C的访问权限,组织B拥有应用D的访问权限,该用户同时拥有组织A和B的权限,则登录用户中心后,该用户便可以同时访问应用C和D。 登录OneAccess管理门户。
为了满足企业内部对安全的要求,OneAccess提供了多种认证方式。 管理员可以在通用配置设置用户名规则、管理门户双因子认证、管理门户Welink认证。为了防止用户在“登录认证”、“注册”、“忘记密码”、“VPN双因素”等环节中出现冒名或身份盗用情况发生,管理员可以进行用户协议配置、
String 应用标识,注册应用后分配的ClientId。 X-tenant-id 否 String 租户id,ISV应用调用则为必填,需要将{domain_name}换成ISV通用域名{common_domain},请求Header参数中需要指定对应租户的tenant_id,并将X-c
全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。具体请参考https://web.mit.edu/kerberos。 AD(Active Directory),即活动目录。您可以将AD简单理解成一个数据库,其存储有关网络对象的信息,方便管理员和用户查找所需信息。 SPN(Service
管理API权限 API权限支持管理员在OneAccess管理门户中,授权需要调用API产品的应用,具体操作请参考授权内置API产品。 授权API后,可以调用API实现相关接口功能,具体操作请参考调用内置API产品。 父主题: 应用管理
扩展属性1,企业扩展的用户属性,以实际情况为准。 extAttr2 否 -- 扩展属性2,企业扩展的用户属性,以实际情况为准。 响应参数 表2 响应参数 参数 参数类型 描述 id String(50) 下游企业应用创建用户成功后,生成的用户ID,并回传至OneAccess,作为该用户的唯一标识。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
