检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
登录OneAccess管理门户。 在导航栏中,选择“安全 > 风险行为管理”。 在风险行为管理界面,单击“添加行为”,并设置相关参数。 表1 添加行为 配置 说明 * 行为名称 风险行为的名称。 * 风险类型 风险事件类型。可设置的风险类型有:异常位置、异常设备、异常IP和账号锁定。 位置类型
在导航栏中,选择“审计 > 风险大盘”,进入风险大盘页面查看已触发的异常风险行为。 表1 风险大盘 模块 说明 当日风险数 当天触发风险事件的数量。所选时间范围不影响该数量。 风险事件总数 所选时间条件内的风险事件日志总数。 风险用户总数 所选时间条件内触发风险事件用户数量。 当日风险用户数 当天
企业配置”。 在企业配置页面,选择左侧的“邮件网关配置”,单击开启邮件网关,配置基本参数。 表1 基本配置 参数 是否必填 说明 SMTP HOST 是 提供SMTP服务的主机地址。可在提供邮件网关服务平台的帮助文档中获取。 SMTP端口 是 默认465,指提供SMTP服务的端口。 邮箱地址
访问控制 访问控制是对已授权用户的行为进行风险管控,如果用户未授权访问应用的权限,则策略对该用户不生效。配置应用访问控制策略前,需开启访问控制策略,即配置默认策略。 以下介绍配置自定义策略的方法。 登录OneAccess管理门户。 在导航栏中,选择“资源 > 应用”。 在应用页面,单击某应用进入应用信息页面。
钉钉网关配置 当“短信验证码”和“语音验证码”都无法满足需求时,可以使用钉钉网关发送验证码,在登录用户门户、忘记密码、二次验证、重置密码、风险预警场景,OneAccess同时支持钉钉发送验证码,您只需要通过配置钉钉网关即可实现。 本文主要介绍OneAccess配置钉钉网关的方法。
自定义分组。 商用 添加自定义分组 2 新增风险事件。 可查看所有用户或管理员已触发的风险事件,包括触发时间、风险类型、登录方式、姓名、用户名等。 商用 风险事件 3 新增风险大盘。 可从全局角度查看实例下的所有风险操作。 商用 风险大盘 2021年7月 序号 功能名称 功能描述
接入地点、接入设备等环境风险,对用户的访问行为进行严格判断。 通过设计风险阻断机制,自动触发预设的条件访问控制策略,实时告知管理员及用户存在的潜在风险,同时主动阻断风险。 用户可自定义条件访问控制策略,根据企业需求灵活组合时间、地点、设备等环境要素,对风险行为设置拦截、二次认证等多种应对措施。
不限定、指定认证源和非指定认证源。 风险行为 选择触发某个风险事件的用户,可在下拉菜单选择可以多选,同风险行为管理中的风险事件一致。 访问控制 设置满足条件的用户登录时的验证方式,分别是:允许访问、拒绝和二次认证。 说明: 当选择二次认证时,有五种认证方式:OTP、短信、邮件、FIDO2和指纹认证。
息是否支持查看、修改。如需更改,请联系企业管理员。 风险事件 在用户门户页面,单击右上角的用户图像,选择“账号设置”默认进入“个人资料”页面,在页面左侧选择“风险事件”进入“风险事件”页面,通过设置起始时间和风险类型,可查看风险事件详细信息。 账号安全设置 在用户门户页面,单击右
安全管理 管理管理员权限 管理密码策略 管理风险行为 父主题: 企业管理员指南
显示名称 是 认证源的显示名称,支持自定义。如LDAP认证。 LDAP地址 是 LDAP连接地址。格式为ldap://{hostname}:{port}/,其中,{hostname}为LDAP服务器地址,{port}为LDAP端口号,默认为389。可参考搭建LDAP服务器。 Base DN
连接方式 可选直接连接或通过云桥Agent连接。默认为直接连接。 AD地址 必填。AD连接地址。格式为ldap://{hostname}:{port}/,其中,{hostname}为AD服务器地址,端口为默认端口389。可参考配置LDAP连接AD。 rootDN 必填。AD中的节点,会到该节点下认证用户。
管理员可以通过密码强度设置、登录安全设置、高级设置保障企业用户的账号安全。 支持区域: 华北-北京四 华东-上海一 管理员权限 密码策略 风险行为管理 OBS 2.0支持 审计 OneAccess提供多维度、多视角、可视化、图形化的审计报表,方便开展全方位事后追溯;提供认证日志、
与IE浏览器共用配置,即IE浏览器配置后,谷歌浏览器可以直接使用无需额外配置。 火狐浏览器 访问火狐浏览器,在地址栏输入“about:config”,单击“接受风险并继续”。 在配置项页面,输入“network.negotiate-auth-trusted-uris”,设置其值为https://{租户域名}。
求,避免资源紧张。 数据安全要求高:对于对数据安全性要求较高的业务,包年/包月计费模式可确保资源的持续使用,降低因资源欠费而导致的数据安全风险。 适用计费项 根据需要具有的功能和企业规模选择OneAccess的规格和用户数,系统会根据选择的规格和用户数计费,以下计费项支持包年/包月。
每个事件回调接口中的请求头携带Bear token,企业应用的回调服务需要进行鉴权。 加解密算法 推荐使用AES/GCM/NoPadding(默认),NULL为不加密,有安全风险,请谨慎使用。 加密密钥 用密钥对消息进行加密,默认为空,不为空时长度必须为16位。 签名密钥 使用签名密钥根据消息内容生成数据签名,默认为空,不为空时长度必须为16位。
注册成功后,系统会自动跳转至您的个人信息界面。 完成个人实名认证,或企业实名认证。 为账户充值 购买应用身份管理服务实例,需要确保您的账户有足够金额。若您账号里有足够的余额,可略过此部分内容。 关于应用身份管理服务的计费标准,请参见“产品介绍 > 计费说明”。 关于充值,请参见“如何给华为云账户充值”。
获取公钥 功能介绍 获取公钥,用于调用服务端接口时,对敏感信息进行加密操作(每个应用拥有不同的公钥,有且只有一个)。 URI GET /api/v2/sdk/public-key 请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-operating-sys-version
0分钟,可在管理门户-设置-服务配置-API认证配置中设置过期时间修改。建议进行缓存,避免频繁调用。使用Token前请确保Token离过期有足够的时间,防止调用API的过程中Token过期导致调用API失败。重新获取Token,不影响已有Token有效性。 接口约束 无 URI POST
普通用户登录用户门户并访问应用 图1为OneAccess基本的入门使用流程。本文旨在帮助您对OneAccess的入门操作有初步的认识,完成这些操作后,管理员可以在OneAccess管理门户对用户和应用进行详细配置和管理,用户可以在OneAccess用户门户单点登录访问已授权可信应用。