检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
示例2:拒绝用户删除权限集 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予IdentityCenter FullAccess的系统策略,但不希望用户拥有IdentityCenter
常用的身份提供商 微软AD Okta 父主题: 管理身份源
SCIM自动配置 IAM身份中心支持使用跨域身份管理系统(SCIM)v2.0协议将用户/用户组信息从身份提供商(IdP)自动配置(同步)到IAM身份中心。配置SCIM同步时,您可以创建身份提供商(IdP)用户属性到IAM身份中心命名属性的映射,这会让IAM身份中心和身份提供商(IdP)
权限集是管理员创建和维护的权限模板,它定义了一个或多个IAM策略的集合。权限集简化了IAM身份中心的用户和用户组对账号访问权限的分配。可以实现批量的账号权限配置,无需再进行单独的权限配置。 创建权限集为必需操作,使用用户登录控制台访问多个账号下的资源时,必须为其关联权限集,否则登录后将无权访问任何资源。
选择MFA验证类型 您可以参考以下步骤配置用户在访问用户门户时可以进行多因素认证(MFA)的设备类型。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入设置页面。 选择 “网络和安全”
IAM身份中心支持使用跨域身份管理系统(SCIM)v2.0协议将用户和用户组信息从Okta自动配置(同步)到IAM身份中心。您可以使用IAM身份中心生成的SCIM端点和访问令牌在Okta中配置此连接。配置SCIM同步时,您可以在Okta中创建用户属性与IAM身份中心中的命名属性的映射,这会使IA
并分析用户后续登录的登录上下文(如设备、浏览器和IP地址)。后续登录时,如果用户的登录上下文未更改,将不触发MFA认证;如果用户的登录上下文更改,将提示用户进行MFA认证。 此模式为经常从工作场所登录的用户提供了易用性,因此用户不需要在每次登录时完成MFA认证。只有在登录上下文更改时,才会提示用户进行MFA认证。
删除权限集 当您不再需要某个权限集时,可以将其删除。需将权限集关联的账号全部解绑后,权限集才能删除。如何解绑账号请参见删除关联的用户/组和权限集。 删除操作无法恢复,请谨慎使用。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
0证书”对话框中,单击“添加文件”,选择从步骤1中获取的新证书,然后单击“导入证书”。 图1 导入证书 此时,IAM身份中心将信任通过您导入的两个证书签名的所有传入的SAML消息。 在外部身份提供商中激活新证书。 返回外部身份提供商网站并将您之前创建的新证书标记为主证书或已激活证书。此时,所有由
查看或修改权限集 完成权限集的创建后,支持对权限集的基本信息和策略设置进行查看和修改,以及对关联的账号进行更新权限集操作。 查看权限集 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 在左侧导航栏中,选择“多账号权限 >
IAM身份中心支持使用跨域身份管理系统(SCIM)v2.0协议将用户/用户组信息从微软AD自动配置(同步)到IAM身份中心。您可以使用IAM身份中心生成的SCIM端点和访问令牌在微软AD中配置此连接。配置SCIM同步时,您可以在微软AD中创建用户属性与IAM身份中心中的命名属性的映射,这会使IA
阻止登录 强制每个用户在登录时使用MFA设备验证,否则将阻止其登录。 允许登录 选择此项表示用户不需要MFA设备验证即可登录用户门户。 允许用户通过邮件发送一次性验证码登录 如果您希望通过电子邮件向用户发送验证码,请使用此选项。 图1 配置MFA强制执行 单击“应用”。 父主题:
集关联,这样用户登录用户门户访问关联账号下的资源时,只能访问基于用户属性匹配标签的资源。 账号关联用户/组和权限集 用户登录并访问资源 完成以上步骤后,关联相关账号和权限集的IAM身份中心用户登录用户门户,将根据匹配的用户属性获得相应资源的访问权限。 用户登录并访问资源 父主题:
策略中使用的用户属性来控制用户对资源的访问权限。可添加的用户属性如用户的基本信息、联系方式、工作相关信息和地址信息等。当前支持实施ABAC的用户属性请参见支持配置的用户属性。 例如您要根据用户的用户名分配其对组织资源的访问权限,您可以在“访问控制属性”页面上添加用户名属性用于AB
在弹窗中输入标签键和标签值(可选),单击“添加”,然后单击“确定”,完成权限集标签的添加。 您还可以在标签键的下拉框中选择已在TMS创建的预定义标签,关于预定义标签的更多信息请参见预定义标签。 图1 添加标签 在标签列表中单击标签操作列的“编辑”,在弹窗中可修改已添加标签的“值”,然后单击“确定”。 图2 编辑标签
单击“编辑”。 修改IdP登录URL和IdP发布者URL,单击“保存”。 在“IdP证书信息”区域可查看证书信息,以及上传或删除证书,具体请参见管理证书。 图1 编辑SAML2.0配置 父主题: 外部身份提供商配置
持SAML的服务,包括华为云管理控制台和第三方应用程序。但是SAML协议没有提供查询IdP来了解用户和用户组的方法,因此您必须将这些用户和用户组配置到IAM身份中心来获取这些用户和用户组。 SCIM IAM身份中心为跨域身份管理系统(SCIM)v2.0标准提供支持。SCIM可以使
olicy”系统策略,表示与此权限集关联的用户拥有组织服务的所有权限,但是您不希望某些用户拥有删除指定组织OU的权限,您可以在权限集的自定义身份策略中写入如下策略内容,表示拒绝用户进行删除指定组织OU的操作。 此自定义身份策略对哪些用户和资源生效由条件键控制,示例中的条件键表示资
BadRequest 非法请求。 建议直接修改该请求,不要重试该请求。 401 Unauthorized 在客户端提供认证信息后,返回该状态码,表明服务端指出客户端所提供的认证信息不正确或非法,请确认用户名和密码是否正确。 402 Payment Required 保留请求。 403 Forbidden
t String 客户端可以请求授权的端点。 client_id String 客户端应用唯一标识。 client_id_issued_at Long 客户端标识符和客户端密钥的注册时间。 client_secret String 为客户端生成的秘密字符串。客户端将使用此字符串在后续调用中获得服务的身份验证。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
