检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
√ × √ √ 更新身份提供商 √ × √ × 更新协议 √ × √ × 更新映射 √ × √ × 删除身份提供商 √ × √ × 删除协议 √ × √ × 删除映射 √ × √ × 查询配额 √ × √ × 访问密钥保护开启的情况下,仅管理员可以管理访问密钥。
condition:联邦用户映射到IAM时,身份转换规则的生效条件。当前支持三种条件: empty:无限制,即条件一直生效,返回输入属性的值,值可以用于填充local块中的占位符。
商用 创建自定义策略 2021年11月 序号 功能名称 功能描述 阶段 相关文档 1 开放身份提供商映射规则数量限制 支持查询、修改账号中所有身份提供商的映射规则总数配额。
x Action 无限制 x Resource 无限制 x Condition 无限制 x 委托 委托数 50 √ 委托名称的字符数 64 x 一个委托可绑定的权限数(包括系统权限和自定义策略) 200 √ 身份提供商 数量 10 √ 名称字符数 64 x 账号中所有身份提供商的映射规则总数
mapping_id String 映射ID。 links Object 协议的资源链接信息。 表5 protocol.links 参数 参数类型 描述 identity_provider String 身份提供商的资源链接地址。 self String 资源链接地址。
mapping_id String 映射ID。 links Object 协议的资源链接信息。 表6 protocols.links 参数 参数类型 描述 identity_provider String 身份提供商的资源链接地址。 self String 资源链接地址。
在华为云IAM上创建的用户组是用于与企业IdP上的用户建立映射关系,使得IdP中的用户获取华为云IAM中用户组的权限。 企业管理员已获取企业IdP的帮助文档或了解企业IdP使用方法。
- - 注册映射 PUT /v3/OS-FEDERATION/mappings/{id} iam:identityProviders:createMapping - - 更新映射 PATCH /v3/OS-FEDERATION/mappings/{id} iam:identityProviders
cert 证书ID 安全云脑(SecMaster) alert 告警 search 查询 playbook 剧本 workflow 流程 subscription 订购 indicator 威胁情报 alertRule 告警模型 connection 资产连接 mapping 分类映射
华为云从SAML Response中取出断言,并根据已配置的身份转换规则映射到具体的IAM用户组,颁发Token。 用户完成单点登录,访问华为云。 断言中要携带签名,否则会导致登录失败。 父主题: 基于SAML协议的IAM用户SSO
表1 各云服务定义的敏感操作 类型 服务 敏感操作 计算 弹性云服务器(ECS) 关闭、重启、删除弹性云服务器 重置弹性云服务器密码 卸载磁盘 解绑弹性公网IP 裸金属服务器(BMS) 关机、重启裸金属服务器 重置裸金属服务器的密码 卸载磁盘 解绑弹性公网IP 弹性伸缩(AS) 删除伸缩组
该链接可打开身份提供商登录页面,根据需要输入映射规则中的用户名(支持免密登录),单击登录,跳入认证页面后按F12,单击认证页面的accept。从下图所示的POST中获取SAMLResponse。
由于联邦用户的身份信息(如邮件地址、手机号码)保存在企业IdP中,是企业IdP映射到华为云的虚拟用户,因此,联邦用户通过身份提供商功能访问华为云时有以下约束: 如果账号开启了敏感操作保护(登录保护或操作保护),对联邦用户不生效,即联邦用户在执行敏感操作时,不需要二次验证。
配置身份转换规则:在“身份转换规则”区域,配置身份转换规则,建立企业管理系统用户与IAM用户组间的映射关系,使得企业管理系统用户登录华为云后,获得对应的华为云操作权限。身份转换规则详情请参见:步骤3:配置身份转换规则。
您希望根据用户在本地企业IdP中加入的组或者用户的某个特殊属性,来区分云上拥有的权限。当企业Idp用户进行权限调整时,只需要在本地进行分组或属性的更改,即可同步到云平台。
在企业IdP创建用户组“testagency”(与4中的委托名称相同),将企业本地用户按需加入本地用户组,授予其自定义代理登录华为云时所需权限,具体方法请参见企业IdP帮助文档。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
