检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
公测申请提交后,5个工作日内审核结果将发送到您的邮箱和手机。 在“资源 > 我的公测”页面中,可以查看所有公测申请以及审批状态。 公测申请审批通过后,在“IAM身份中心”页面单击“立即开通”,开通IAM身份中心服务。 开通IAM身份中心服务后,系统会自动创建服务实例和身份源,并自动生成用户门户URL。
client_id 是 String 在IAM身份中心注册的客户端的唯一标识符。 client_secret 是 String 为客户端生成的秘密字符串。客户端将使用此字符串在后续调用中获得服务的身份验证。 start_url 是 String 用户门户的URL。 响应参数 状态码: 200 表2
创建权限集 权限集是管理员创建和维护的权限模板,它定义了一个或多个IAM策略的集合。权限集简化了IAM身份中心的用户和用户组对账号访问权限的分配。可以实现批量的账号权限配置,无需再进行单独的权限配置。 创建权限集为必需操作,使用用户登录控制台访问多个账号下的资源时,必须为其关联权限集,否则登录后将无权访问任何资源。
IAM身份中心支持基于SAML协议的单点登录,如果您已经有自己的企业管理系统,同时您的用户需要使用您账号内的云服务资源,您可以使用IAM的身份提供商功能,实现用户使用企业管理系统账号单点登录华为云,这一过程称之为联邦身份认证。关于IAM身份提供商的具体信息请参见:身份提供商。 IAM身份中心支持连接到基于SAML
姓 用户的姓氏。 名 用户的名字。 显示名 IAM身份中心用户的显示名称。 自定义,可与其他IAM身份中心用户显示名重复,一般为用户的真实姓名。 (可选)进入“分配用户组(可选)”页面,勾选要加入的用户组,将用户加入到用户组。加入用户组后,用户将具备用户组的权限。配置完成后,单击页面右下角的“下一步”。
除IAM身份中心配置的所有数据。 由于IAM身份中心为项目级服务,您在当前区域启用IAM身份中心后,如需在其他区域使用,则需要删除当前区域的IAM身份中心数据,然后才可以在其他区域重新开通并使用IAM身份中心。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 >
实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予IdentityCenter FullAccess的系统策略,但不希望用户拥有IdentityCenter FullAccess中定义的删除权限集权限,您可以
用户登录并访问资源 将组织下的一个或多个成员账号与用户和权限集关联后,用户即可使用用户名和密码通过用户门户URL登录控制台并访问资源,资源具体的访问权限由权限集控制。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
用户创建完成后,用户即可使用用户名和密码通过用户门户URL登录控制台,如需访问资源,则还需关联权限集和组织下的一个或多个成员账号,这样登录后才能访问组织下账号的资源,而资源具体的访问权限由权限集控制。具体请参见创建权限集和账号关联用户/组和权限集。 管理员开通IAM身份中心后,系统会自动生成唯一的用户门户
在外部身份提供商处管理和配置,在IAM身份中心将不会看到 “网络和安全” 页签。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入设置页面。 选择 “网络和安全” 页签。 在“提示
Object 表示服务提供商是否支持部分修改操作,及对部分修改操作的相关配置。 bulk Object 表示服务提供商是否支持批量操作,及对批量操作的相关配置。 filter Object 表示服务提供商是否支持过滤操作,及对过滤操作的相关配置。 changePassword Object
client_id 是 String 客户端的唯一标识。 client_secret 是 String 为客户端生成的秘密字符串。客户端将使用此字符串在后续调用中获得服务的身份验证。 code 否 String 从授权服务接收的授权代码。执行授权授予请求以获取对令牌的访问权限时需要此参数。 device_code
状态、列举权限集关联的账号、列举分配给账号的权限集等接口。 账号分配管理 包括账号分配的增删查、账号分配创建/删除状态查询等接口。 标签管理 包括权限集标签的查询、添加和删除接口。 用户管理 包括用户的增删改查、查询用户ID等接口。 用户组管理 包括用户组的增删改查、查询用户组ID等接口。
1中获取的新证书,然后单击“导入证书”。 图1 导入证书 此时,IAM身份中心将信任通过您导入的两个证书签名的所有传入的SAML消息。 在外部身份提供商中激活新证书。 返回外部身份提供商网站并将您之前创建的新证书标记为主证书或已激活证书。此时,所有由外部身份提供商签名的SAML消息都应使用新证书。
使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见:API签名指南。 签名SDK只提供签名功能,与服务提供的SDK不同,使用时请注意。 父主题: 如何调用API
设置委托管理员 IAM身份中心默认由组织管理员账号使用和管理,组织中的成员账号如需使用IAM身份中心,需组织管理员将其设置为委托管理员。 此操作会将IAM身份中心的管理访问权限委托给此成员账号中的用户。对此委托管理员账号拥有足够权限的所有用户可以从该账号执行所有IAM身份中心管理任务,但以下任务除外:
IdP功能添加到您的IAM身份中心存储或外部身份提供商应用程序,然后用户可以单点登录到支持SAML的服务,包括华为云管理控制台和第三方应用程序。但是SAML协议没有提供查询IdP来了解用户和用户组的方法,因此您必须将这些用户和用户组配置到IAM身份中心来获取这些用户和用户组。 SCIM
账号关联用户/组和权限集 当您创建用户/组和权限集完成后,您需要将组织下的一个或多个成员账号关联用户/组和权限集,这样使用用户登录后才能访问关联账号下的资源,这些资源通过关联的权限集授予具体访问权限。 当前仅支持为组织下的一个或多个成员账号关联用户/组和权限集,不支持直接选择整个组织或组织单元。
务不同,登录的企业员工的职责也不同。需要针对不同账号配置不同员工的细粒度访问权限,确保企业的资源访问安全合规。 集中管理用户对多个账号资源的访问权限: 允许管理员使用不超过20个IAM权限策略创建权限集,实现批量的账号权限配置。 每个账号可以设置允许访问的用户和对应的权限集。 I
就是将tag-key替换为具体的属性键。 上述访问控制规则配置完成后,权限策略会根据您指定的资源标签键和属性键,对资源标签的值和属性值进行匹配校验,只有资源标签的值和属性值匹配成功的用户才会获得此权限集定义的资源访问权限。 策略示例 创建权限集的具体操作请参见:创建权限集。此处仅
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
