检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
该接口可以用于管理员修改IAM用户的登录保护状态信息。 绑定MFA设备 该接口可以用于IAM用户绑定MFA设备。 解绑MFA设备 该接口可以用于IAM用户解绑MFA设备。 创建MFA设备 接口可以用于IAM用户创建MFA设备。 删除MFA设备 该接口可以用于管理员删除MFA设备。 用户组管理 接口 说明 查询用户组列表
基于OIDC协议的联邦身份认证 2020年9月 序号 功能名称 功能描述 阶段 相关文档 1 支持扫码登录华为云 华为云APP是华为云的手机客户端,通过华为云APP,您可以在手机上远程管理您的华为云服务资源。如果您在华为云APP上登录了账号或IAM用户,通过APP扫描页面二维码即可登录华为云,无需重复输入账号信息。
One-Time Password,TOTP)标准。MFA设备可以基于硬件也可以基于软件,华为云目前仅支持基于软件的虚拟MFA,即虚拟MFA应用程序,可以在移动硬件设备(包括智能手机)上运行,获取认证码并进行身份认证。关于虚拟MFA的详细使用方法请参考:虚拟MFA。 项目 区域默认对应一个项
接到企业内外的各种应用服务。本章介绍通过Openstack Client和ShibbolethECP Client获取联邦认证Token的方法。 流程图 SP initiated联邦认证的流程如下图所示。 图1 流程图(SP initiated方式) 步骤说明 Client调用公有云系统提供的“通过SP
修改身份转换规则后,对已登录的联邦用户不会即时生效,需重新登录后新规则才可生效。 如果需要修改用户的权限,修改用户所属用户组的权限即可,修改后,需要重启企业IdP使设置生效。 前提条件 已在本系统创建身份提供商,并验证身份提供商的登录链接可以正常使用,如何创建并验证身份提供商请参见:步骤1:创建身份提供商。
给用户组授予自定义策略与系统策略操作一致,详情请参考:创建用户组并授权。 设置成功后,IAM用户A登录到华为云进入“费用中心>待支付订单”,订单的操作列将不出现“支付”按钮。 图5 设置成功 图6 设置失败 父主题: 用户组及权限管理类
密钥AK/SK之后,确认无其他业务影响,再将丢失的访问密钥AK/SK停用或删除。具体方法请参见:管理访问密钥。 每个用户最多可创建2个访问密钥,不支持增加配额。 如果您是IAM用户,请在“安全设置>敏感操作>访问密钥保护”确认所属账号是否开启访问密钥保护。 访问密钥保护关闭时,所
tional State Transfer)风格API,支持您通过HTTPS请求调用,调用方法请参见如何调用API。 同时统一身份认证服务还提供多种编程语言的SDK供您使用,SDK的使用方法请参见SDK中心。 父主题: 使用前必读
com/authui/saml/metadata.xml。下载华为云元数据文件,并设置文件名称,例如“SP-metadata.xml”。 将上述文件上传到企业IdP服务器上。上传方法请参见企业IdP的帮助文档。 获取企业IdP的元数据文件。获取方法请参见企业IdP的帮助文档。 在华为云上创建身份提供商 在
返回值 描述 200 请求成功。 400 参数无效。 401 认证失败。 403 没有操作权限。 404 未找到相应的资源。 405 不允许的方法。 413 请求体过大。 501 接口没有实现。 503 服务不可用。 错误码 无 父主题: 服务和终端节点
在IAM控制台创建云服务委托 登录IAM控制台。 在统一身份认证服务的左侧导航窗格中,选择“委托”页签,单击“创建委托”。 在创建委托页面,设置“委托名称”。 图2 云服务委托名称 “委托类型”选择“云服务”,在“云服务”中选择需要授权的云服务。 选择“持续时间”。 (可选)填写“委托描述”。建议填写描述信息。
临时安全凭证的使用方法 临时安全凭证包括临时AK/SK和SecurityToken,临时AK/SK和SecurityToken必须同时使用,临时安全凭证与永久安全凭证的使用方法几乎相同,使用临时安全凭证进行鉴权时,请求头中需要添加“x-security-token”字段,使用方法请参考:API签名指南。
无法满足业务需要,您可以申请扩大配额,具体方法请参见:如何申请扩大配额?。 给用户组授权 以下步骤仅适用于给用户组新增权限。如需移除权限,请参见:移除用户组权限。 在用户组列表中,单击新建用户组右侧的“授权”。 图2 进入用户组权限设置页面 在用户组选择策略页面中,勾选需要授予用户组的权限。单击“下一步”。
管理员在IAM控制台给用户组或者委托授权时,无法找到特定服务的权限。 可能原因 要设置权限的服务不支持IAM,所以无法选择该服务的权限。IAM支持的服务请参见:使用IAM授权的云服务。 搜索的服务或权限名称不正确。 解决方法 管理员通过给对应云服务提交工单,申请该服务在IAM预置权限。 请在管
返回值 描述 200 请求成功。 400 参数无效。 401 认证失败。 403 没有操作权限。 404 未找到相应的资源。 405 不允许的方法。 413 请求体过大。 501 接口没有实现。 503 服务不可用。 错误码 无 父主题: 服务和终端节点
为查看方便,每个具体API的URI,只给出resource-path部分,并将请求方法写在一起。这是因为URI-scheme都是HTTPS,而Endpoint在同一个区域也相同,所以简洁起见将这两部分省略。 请求方法 HTTP请求方法(也称为操作或动词),它告诉服务你正在请求什么类型的操作。 GET:请求服务器返回指定资源。
curitytoken。临时AK/SK和securitytoken是系统颁发给IAM用户的临时访问令牌,有效期可在15分钟至24小时范围内设置,过期后需要重新获取。临时AK/SK和securitytoken遵循权限最小化原则。 该接口可以使用全局区域的Endpoint和其他区域的
curitytoken。临时AK/SK和securitytoken是系统颁发给IAM用户的临时访问令牌,有效期可在15分钟至24小时范围内设置,过期后需要重新获取。临时AK/SK和securitytoken遵循权限最小化原则。 该接口可以使用全局区域的Endpoint和其他区域的
Token的使用范围,取值为project或domain,二选一即可。 说明: 如果您将scope设置为domain,该Token适用于全局级服务;如果将scope设置为project,该Token适用于项目级服务。 如果您将scope同时设置为project和domain,将以project参数为准,获取到项目级服务的Token。
期可在15分钟至24小时范围内设置,过期后需要重新获取。临时AK/SK和securitytoken遵循权限最小化原则。鉴权时,临时AK/SK和securitytoken必须同时使用,请求头中需要添加“x-security-token”字段,使用方法详情请参考:使用临时AK/SK做签名
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
