检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
认证源管理 OneAccess支持配置多种第三方认证源,包括个人社交认证、企业社交认证、企业认证源,使用内部或外部认证源、多种协议接口方式提供统一认证服务,可满足不同应用/设备的统一认证需求,为企业用户登录OneAccess提供便利。管理员可以根据企业需要添加、修改和删除认证源。 支持区域:
PASSWORD_WARN:密码快过期,需要调用密码过期强制修改密码接口设置密码 PASSWORD_EXPIRED:密码已过期,需要调用密码过期强制修改密码接口设置密码 ACCESS_DENIED:拒绝访问 MFA_AUTH:登录成功但需要进行二次认证,需要调用根据state_Token获
PASSWORD_WARN:密码快过期,需要调用密码过期强制修改密码接口设置密码 PASSWORD_EXPIRED:密码已过期,需要调用密码过期强制修改密码接口设置密码 ACCESS_DENIED:拒绝访问 MFA_AUTH:登录成功但需要进行二次认证,需要调用根据state_Token获
SOCIAL_BIND:绑定流程,需要调用验证码和社交账号登录绑定手机号相关接口完成绑定流程 USER_REGISTER:自动注册绑定流程,需要调用验证码和社交账号注册并绑定手机号相关接口完成注册绑定流程 ACCESS_DENIED:拒绝访问 MFA_AUTH:登录成功但需要进行二次认证,需要调用验证码和二次认证相关接口进行二次认证
概述 华为云支持基于SAML、OIDC协议的单点登录,企业管理员在华为云和OneAccess进行配置后,普通用户登录OneAccess用户门户,即可免密进入华为云Console系统或者是某个具体的华为云应用。 前提条件 请确保您的浏览器可以访问华为云控制台。 请确保您已拥有OneAccess管理门户的访问权限。
ken。 X-tenant-id 否 String 租户id,ISV应用调用则为必填,需要将{domain_name}换成ISV通用域名{common_domain},请求Header参数中需要指定对应租户的tenant_id,并将X-client-id换成ISV应用模板的client_id。
ken。 X-tenant-id 否 String 租户id,ISV应用调用则为必填,需要将{domain_name}换成ISV通用域名{common_domain},请求Header参数中需要指定对应租户的tenant_id,并将X-client-id换成ISV应用模板的client_id。
X-tenant-id 否 String 租户外部ID,如果为ISV方调用则为必填,需要将{domain_name}换成ISV通用域名{common_domain},请求Header参数中需要指定对应租户的tenant_id。 表2 请求Body参数 参数 是否必选 参数类型 描述
scope String 授权范围。 refresh_token String 刷新令牌。默认不生成refresh_token,如果需要,在应用的“认证配置”中设置“Refresh Token有效期”后生成返回。 状态码: 400 表3 响应Body参数 参数 参数类型 描述 error
签名验签说明 当OneAccess同步数据至企业应用时,需要企业应用对该同步事件进行识别并确认,确保事件来源的安全性和可靠性,从而保证数据在一个安全的环境中进行交互。 签名校验/加解密术语 表1 术语 术语 说明 signature 消息签名,用于验证请求是否来自OneAcces
用。 IAM用户是账号在IAM中创建的用户,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源。 如果您需要通过OneAccess单点登录华为云,请参考通过OneAccess免密登录单个华为云账号(SAML-虚拟用户SSO)。 OneAccess
只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS)或云日志服务(LTS),
口获取。 X-tenant-id 否 String 租户id,ISV应用调用则为必填,需要将{domain_name}换成ISV通用域名{common_domain},请求Header参数中需要指定对应租户的tenant_id,并将X-client-id换成ISV应用模板的client_id。
在应用中,授权具体的API。添加应用请参考集成企业应用。 如果企业应用只需要调用auth_api(自定义绑定、注册、绑定并注册场景)的权限接口,需设置该应用的认证集成方式为OPEN_API,如果不需要调用auth_api的权限接口,则按需设置认证集成方式。 在导航栏中,选择“资源
SOCIAL_BIND:绑定流程,需要调用验证码和社交账号登录绑定手机号相关接口完成绑定流程 USER_REGISTER:自动注册绑定流程,需要调用验证码和社交账号注册并绑定手机号相关接口完成注册绑定流程 ACCESS_DENIED:拒绝访问 MFA_AUTH:登录成功但需要进行二次认证,需要调用验证码和二次认证相关接口进行二次认证
ess的应用根据是否需要用户自集成分为预集成应用和自建应用。 预集成应用:OneAccess根据应用的开发接口或者相应协议提前进行预集成的应用,企业只需购买并完成基础配置即可使用。 自建应用:企业的自研应用或者不在预集成应用列表中的软件类或商业应用,企业还需要选择应用支持的认证协
添加自定义API产品 OneAccess管理员在OneAccess管理门户中添加企业需要的自定义API产品。 登录OneAccess管理门户。 在导航栏中,选择“资源 > 企业API”。 在企业API页面,单击自定义API产品下的“添加自定义API产品”。 在“添加企业API”页
择一个机构。选择需要授权的机构。若不启用“同步上级机构”,只会授权所选机构;若启用“同步上级机构”,会同时授权所选机构的上级。 单击“执行新增”,完成机构授权,新增成功后,请单击,应用机构列表显示已选择的机构。 如需批量删除授权的机构,在授权策略页面,取消勾选需要删除的机构,单击
据。 配置AD身份源,配置步骤请参考集成AD身份源。 在“导入配置 > 高级配置”中设置根组织,打开AD身份源定时同步开关并设置定时同步时间。 “定时频率”默认只能设置一天执行一次,如需开启按小时同步,请联系技术支持。 “定时频率”最小支持半小时从AD域同步一次数据。 配置One
用”,设置Logo和名称,单击“保存”。 在OneAccess中配置企业应用 在OneAccess中配置应用的信息,确保用户可以通过OneAccess登录企业应用。包括 认证配置、 映射配置、 授权用户。 认证配置 单击在OneAccess中添加企业应用中添加的企业应用,在应用信息页面单击应用图标。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
