检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过事件回调方式同步数据至应用 准备工作 调用说明 API 公共返回码
在页面左侧选择“应用账号导入”,进入“应用账号导入”页面。 导入应用账号的前提是应用已存在。如需添加应用,请参考添加应用。 单击“下载导入模板”。 打开下载的Excel文档,根据文档说明编辑需要上传的账号信息并保存。 在应用账号导入页面,单击“选择文件”,选择5保存的文件并单击“打开”,获取应用账号信息
在OneAccess中添加企业应用 登录OneAccess管理门户。 在导航栏中,单击“资源 > 应用”。 在企业应用页面,单击自建应用下的“添加自建应用”,设置Logo和名称,单击“保存”。 在OneAccess中配置企业应用 单击在OneAccess中添加企业应用中添加的企业应用。 在通
获取基于SAML2.0的身份提供商IdP的Metadata文件。 GET https://{domain_name}/api/v1/saml2/idp/metadata 响应示例 无 状态码 状态码 描述 200 请求成功。 错误码 请参见错误码。 父主题: 基于SAML2.0的应用认证集成
在OneAccess中配置WeLink预集成应用 在OneAccess上添加钉钉预集成应用。 登录OneAccess管理门户,选择“资源 > 应用”。 在应用页面,单击“新增预集成应用”。 在新增预集成应用页面,搜索“WeLink应用集成”应用。 在弹出的添加应用页面,确认通用信息,单击“下一步”。
添加应用 OneAccess提供自建应用和预集成应用的添加,您可以根据企业需要添加。 添加自建应用 自建应用指企业的自研应用、不在预集成应用列表中的SaaS类或商业应用等。 登录OneAccess管理门户。 在导航栏中,单击“资源 > 应用”。 在企业应用页面,单击自建应用下的“添加自建应用”。
查询应用机构列表 功能介绍 查询一个应用被授权访问的机构列表 接口约束 无 URI GET /api/v2/tenant/applications/{application_id}/organizations 表1 路径参数 参数 是否必选 参数类型 描述 application_id
在钉钉中配置OneAccess对接信息 在钉钉开放平台中创建小程序并配置参数,确保OneAccess中的数据可同步至钉钉。 登录钉钉开放平台。 在钉钉开放平台,选择“应用开发 > 企业内部应用 > 钉钉应用”,创建应用,填写应用信息。具体可参考钉钉开放平台的帮助文档。 配置应用参数。具体可参考钉钉开放平台的帮助文档。
对OIDC协议中的id_token进行验证 登录OneAccess管理门户,选择“设置 > 服务配置”。 在服务配置页面,单击“OIDC”。 在OIDC页面,单击“OIDC设置”。 获取jwks_uri地址。 在浏览器中输入jwks_uri地址,根据创建的OIDC应用中的签名加密方式
当应用已禁用,已授权用户登录以后不再显示该应用。 删除应用 请谨慎删除应用,删除以后该应用的所有数据将被删除且不可恢复。 删除未禁用的应用。 在应用页面,单击需要删除的应用。 在应用信息页面,单击应用Logo或名称,进入通用信息页面。 单击下方的“删除应用”。 输入应用名称,单击“确定”。删除应用成功。
“定时频率”最小支持半小时从AD域同步一次数据。 配置OneAccess和钉钉之间数据同步集成 在OneAccess和钉钉中配置应用信息,确保OneAccess可将数据同步到钉钉。配置钉钉同步集成应用请参考同步数据至钉钉。 验证AD域数据同步至钉钉 在OneAccess中钉钉预集成应用中配置授权策略,授权AD同步的组织以及账号信息。
k 在OneAccess中WeLink预集成应用中配置授权策略,授权AD同步的组织以及账号信息。 登录OneAccess管理门户,选择“资源 > 应用”。 在应用页面,选择创建的钉钉预集成应用。 在“授权管理 > 应用机构”中,单击“授权策略”,开启自动授权,选择“自定义”,选择
略给用户授权,请参考配置应用中应用账号的授权策略。 访问控制、对象模型等设置请参考配置应用。 插件代填的应用不进行用户授权,也可以由用户直接在用户门户中设置。 华为云配置示例 以华为云为例说明简单登录的配置方法。 访问华为云,打开F12,定位账号输入框,取唯一属性 type。 图3
概述 同步组织数据的前提是开启应用机构,可参考7。 本章节的业务事件的消息示例前提是企业应用开启签名和数据加密。 父主题: API
> 应用侧角色/权限”。 当应用侧权限配置为基于角色的应用权限管理时,只可按应用侧角色授权,选择需要授予角色的账号,单击“确定”,完成基于角色的授权。基于角色的应用权限管理请参考基于角色的应用权限管理。 图2 按应用侧角色授权 当应用侧权限配置为基于角色、权限、资源的应用权限管
neAccess可以将上游的身份数据实时传递到下游,从而保证人员的入、离、调、转等行为能够快速准确的传递到下游各个应用系统中,实现用户的全生命周期管理,从而保障身份数据的实时同步与安全。 为了同步OneAccess数据至企业应用,企业应用需提前按照数据格式开发同步事件接口,具体请参考调用说明和API。
同步企业数据 通过SCIM协议同步数据至Atlassian 通过LDAP协议同步数据 同步数据至钉钉 同步数据至WeLink 将AD域数据同步到钉钉 将AD域数据同步到WeLink
用户授权应用账号 功能介绍 为用户授予应用访问权限,并在应用中创建用户对应的应用账号。 接口约束 无 URI POST /api/v2/tenant/users/{user_id}/applications/{application_id}/accounts 表1 路径参数 参数
公共返回码 事件回调接口采用HTTP状态码表示操作结果成功或者失败。企业应用的回调服务参考以下错误码及错误提示进行返回,OneAccess将返回的错误码和错误信息保存到应用同步记录中。 表1 公共返回码 返回码code 说明 200 success。 400 参数XX已存在,如参数userName已存在。
签名验签说明 当OneAccess同步数据至企业应用时,需要企业应用对该同步事件进行识别并确认,确保事件来源的安全性和可靠性,从而保证数据在一个安全的环境中进行交互。 签名校验/加解密术语 表1 术语 术语 说明 signature 消息签名,用于验证请求是否来自OneAcces
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
