检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
基于SAML协议的虚拟用户SSO 基于SAML协议的虚拟用户SSO配置概述 步骤1:创建身份提供商 步骤2:配置企业Idp 步骤3:配置身份转换规则 步骤4:登录验证 (可选)步骤5:配置企业管理系统登录入口 父主题: 身份提供商
idp_login_url 企业管理系统登录地址。 service 需要访问的华为云服务地址。 logintoken 自定义代理登录票据。 为了浏览器正常识别参数内容,需要将以上三个参数都进行UrlEncode编码。 您可以参考以下Demo示例创建云服务登录地址FederationProxyUrl:使用委托方式创建云服务登录地址
查询映射详情 功能介绍 该接口可以用于查询映射详情。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3/OS-FEDERATION/mappings/{id}
表5 links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址,不存在时为null。 next String 后一邻接资源链接地址,不存在时为null。 表6 roles.policy 参数 参数类型 描述
token。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 该接口支持在命令行侧调用,需要客户端使用IdP initiated的联邦认证方式获取SAMLResponse,并采用浏览器提交表单数据的方式,获取unscoped
步骤2:查询AK/SK的创建时间(或查询指定AK/SK的创建时间) 查询所有AK/SK的创建时间。 URI:GET /v3.0/OS-CREDENTIAL/credentials API文档详情请参见:查询所有永久访问密钥 API Explorer在线调试请参见: 查询所有永久访问密钥
第四十次正式发布。 本次变更说明如下: 优化如下章节: 查询IAM用户详情(推荐) 新增如下章节: 查询项目配额 查询账号配额 查询IAM用户的MFA绑定信息列表 查询指定IAM用户的MFA绑定信息 查询IAM用户的登录保护状态信息列表 查询指定IAM用户的登录保护状态信息 查询委托下的所有项目服务权限列表
服务:使用IAM授权的云服务名称。单击服务名,可以查看该服务支持的权限,以及不同权限间的区别。 所属区域:使用IAM授权时,该服务选择的授权区域。 全局区域:服务部署时不区分物理区域,为全局级服务。在全局项目中进行授权,访问该服务时,不需要切换区域。 其他区域:服务部署时通过物理区域划分
查询账号操作保护策略 功能介绍 该接口可以用于查询账号操作保护策略。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS
员权限、只读权限,管理员可以直接使用这些系统权限给用户组授权,授权后,用户就可以基于权限对云服务进行操作。详情请参见给IAM用户授权。如需查看所有云服务的系统权限,请参见:系统权限。 前提条件 在创建用户组前,建议管理员提前了解并规划以下内容: 了解权限的基本概念及分类。 所有使
约束与限制新增身份提供商身份转换规则配额。 2021-11-23 第十六次正式发布。 使用IAM授权的云服务增加企业项目相关说明。 2021-04-25 第十五次正式发布。 约束与限制新增权限相关配额。 2020-12-30 第十四次正式发布。 根据登录界面词条变更刷新基本概念章节截图。
Administrator”权限的用户:具备该权限的用户为IAM管理员,可以使用IAM。 推荐您在使用IAM前,开通云审计服务CTS,方便查看、审计以及回溯IAM的关键操作记录。详情请参考:开通云审计服务。 如何进入IAM控制台 登录华为云,在右上角单击“控制台”。 图1 进入控制台
Array of objects 允许访问的IP地址或网段,仅在设置了允许访问的IP地址或网段才会返回此字段。 allow_ip_ranges Array of objects 允许访问的IP地址区间,仅在设置了允许访问的IP地址区间才会返回此字段。 表9 allow_address_netmasks
idp_login_url 企业管理系统登录地址。 service 需要访问的华为云服务地址。 logintoken 自定义代理登录票据。 您可以参考以下Demo示例创建云服务登录地址:使用token方式创建云服务登录地址 云服务代理登录地址中包含从IAM获得的登录票据loginTo
策略、最近登录提示、登录验证提示进行修改,登录验证策略对账号和账号中的IAM用户生效。 只有管理员可以设置登录验证策略,普通IAM用户只有查看权限,不能对其进行设置,如需修改,请联系管理员为您操作或添加权限。 会话超时策略 如果用户超过设置的时长未操作界面,会话将会失效,需要重新登录。
√ × √ × 查询权限详情 √ × √ √ 创建委托 √ × √ × 查询委托 √ × √ √ 修改委托 √ × √ × 切换角色 × √ √ × 删除委托 √ × √ × 为委托授权 √ × √ × 移除委托权限 √ × √ × 创建项目 √ × √ × 查询项目 √ × √
小区域权限,方法请参见:给用户组授权。 可能原因:对于区域级服务,IAM用户登录控制台后,没有切换到授权区域。 解决方法:IAM用户访问区域级服务时,请切换至授权区域,方法请参见:切换区域。 可能原因:管理员授予的OBS权限由于系统设计的原因,授权后需等待15-30分钟才可生效。
公有云对断言进行校验和认证,并根据用户在身份提供商配置的身份转换规则生成临时访问凭证。 用户根据分配的权限访问公有云资源。 客户端实现 “Client4ShibbolethIdP.py”脚本(仅供参考),实现本企业IdP到本系统的API/CLI侧联邦认证的脚本。 脚本下载地址: https://obs-iam-download01
新增访问密钥并下载 单击“新增访问密钥”。 图2 新增访问密钥 每个用户最多可以拥有2个访问密钥,有效期为永久。为了账号安全性,建议管理员定期给用户更换访问密钥。 若开启操作保护,则管理员需输入验证码或密码。 单击“确定”,生成并下载访问密钥后,将访问密钥提供给用户。 删除访问密钥 单击“删除”。
查询自定义策略详情 功能介绍 该接口可以用于管理员查询自定义策略详情。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/O
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
