检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
同步部分组织的用户信息,您可以填写需要同步的部门 id,可登录企业微信控制台,单击 “通讯录” , 选中左侧根节点部门悬浮查看根节点ID。 接收事件服务器TOKEN OneAccess添加企业微信身份源后,单击“获取”自动生成。 接收事件服务器EncodingAESKey One
应用标识,注册应用后分配的ClientId。 X-tenant-id 否 String 租户id,ISV应用调用则为必填,需要将{domain_name}换成ISV通用域名{common_domain},请求Header参数中需要指定对应租户的tenant_id,并将X-client-id换成ISV应用模板的client_id。
”,数据会自动保存。 参考在华为云上创建身份提供商创建身份提供商 ,其中“类型”选择“IAM用户SSO”。 身份提供商名称不能重复,建议以域名唯一标识命名。 IAM用户SSO定义可参考虚拟用户SSO与IAM用户SSO的适用场景。 一个华为云帐号只能存在“IAM用户SSO”和“虚拟用户SSO”中的一种类型的身份提供商。
单击创建的应用,选择“基础信息 > 应用信息”,可参考下图在“应用信息”页面获取AppKey和AppSecret。 选择“应用功能 > 登录与分享”,配置回调域名为OneAccess管理门户钉钉认证源的回调地址,见表1。 选择“部署与发布 > 版本管理与发布”,在应用发布页签下单击“确认发布”,在“
应用标识,注册应用后,分配的ClientId。 redirect_uri 是 String 回调地址,表示应用接收OneAccess Token(ID Token或Access Token)的地址。地址可以是注册应用时填写的回调地址,也可以是注册应用时填写的回调地址的域名。 response_type
微信认证源未关联用户时,可根据该设置继续操作。可在绑定、绑定或注册中任选一个。 绑定:设置为 “绑定” ,当没有关联到用户时会跳转手机号或邮箱验证页面,输入OneAccess中已存在的手机号或邮箱验证成功,则该用户通过认证。 绑定或注册:设置为 “绑定或注册” ,当没有关联到用户时会跳转手机号或邮箱
认证用户名对应的密码。当认证方式选择Basic Auth时,需填写。 应用账号模板 是 需要推送给目标系统的用户请求数据模板。系统默认为SCIM2.0标准协议的数据模板,请根据目标系统的SCIM协议填写。 应用机构模板 是 需要推送给目标系统的机构请求数据模板。系统默认为SCIM2.0标准协议的数
据”,数据会自动保存。 参考在华为云上创建身份提供商创建身份提供商 ,其中“类型”选择“虚拟用户SSO”。 身份提供商名称不能重复,建议以域名唯一标识命名。 虚拟用户SSO定义可参考虚拟用户SSO与IAM用户SSO的适用场景。 一个华为云帐号只能存在“IAM用户SSO”和“虚拟用户SSO”中的一种类型的身份提供商。
String 回调地址,表示应用接收OneAccess授权码的地址。地址可以是注册应用时填写的回调地址,也可以是注册应用时填写的回调地址的域名。 response_type 是 String 授权类型,固定值:code。 scope 否 String 授权范围,固定值:openid。
应用标识,注册应用后分配的ClientId。 X-tenant-id 否 String 租户id,ISV应用调用则为必填,需要将{domain_name}换成ISV通用域名{common_domain},请求Header参数中需要指定对应租户的tenant_id,并将X-client-id换成ISV应用模板的client_id。
系统接口 获取服务器时间 获取公钥 父主题: 用户类接口
在通用信息模块,单击“认证集成”后的“配置”,进入“认证集成(OAUTH)”的“参数配置”页签。 图3 配置认证参数 回调地址填写泛微e-cology登录地址。 可根据需要在映射配置中添加获取用户信息接口返回给泛微e-cology的参数,用以和泛微e-cology用户进行绑定。 授权用户 选择左侧的“授权管理
在版本管理页面,单击首页地址设置后的“前往设置”,在“设置应用首页地址”页面,可选择设置手机端或PC端,输入首页地址,首页地址为 https://{租户域名}/admin。 设置接口权限。 在版本管理页面,单击接口权限后的“前往设置”,配置回调地址,并授权身份与鉴权、通讯录、事件回调三组接口权限。其中回调地址值在2获取。
在OneAccess管理门户,可以建立动态用户组,可以按照成员规则(成员匹配范围,匹配规则,运算规则,黑白名单)自动添加用户到用户组中。同时,可以根据需要添加、编辑、删除动态用户组等。基于动态用户组的授权请参考授权策略。 添加动态用户组 登录OneAccess管理门户。 在导航栏中,选择“用户
脚本说明 05 API 通过OneAccess开放的丰富API和调用示例,您可以通过接口管理您的用户、组织、应用等。 API概览 获取用户访问域名 调用API 获取访问凭据 06 实践 提供典型场景的最佳实践操作指导您更好地使用OneAccess。 集成身份源 集成企业应用 同步企业数据
户登录OneAccess提供便利。管理员可以根据企业需要添加、修改和删除认证源。 支持区域: 华北-北京四 华东-上海一 添加认证源 修改认证源 删除认证源 安全 OneAccess支持对管理门户的权限进行管理,您可以根据需要添加管理员、管理组,并配置相应的使用权限。同时,One
入门实践 当您购买了应用身份管理服务实例后,可根据业务需要使用OneAccess提供的一些实践操作。 实践 描述 集成身份源 集成钉钉身份源 本实践将为您介绍如何在OneAccess中配置钉钉身份源,通过身份源导入用户和组织信息,实现OneAccess实时同步身份源中用户和组织信息。
Token 验证令牌,可参考8获取。 回调注册 默认关闭,建议开启。开启后,飞书平台的数据会实时同步至OneAccess中。 回调地址 开启回调注册后,由系统默认生成。同时,该地址需配置于飞书开放平台的应用中,可参考8。 事件类型 开启回调注册后,由系统默认生成。 表2 高级配置 高级配置
在应用中,授权具体的API。添加应用请参考集成企业应用。 如果企业应用只需要调用auth_api(自定义绑定、注册、绑定并注册场景)的权限接口,需设置该应用的认证集成方式为OPEN_API,如果不需要调用auth_api的权限接口,则按需设置认证集成方式。 在导航栏中,选择“资源
在OneAccess中配置映射并授权用户 映射配置,即在OneAccess中配置认证成功后需要返回给应用的属性,以建立OneAccess与应用端属性的映射关系。 如果在在OneAccess中配置元数据文件的“Name ID”已设置你所需要的映射关系,可以选择跳过映射配置。 在认证配置页面,选择“映射配置