检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
权限管理 权限基本概念 角色 策略 系统策略更名详情 查看授权记录 自定义策略
步骤3:配置身份转换规则 企业IdP用户登录华为云后,华为云会根据身份转换规则,决定联邦用户的身份和拥有的权限。身份转换规则需要用户根据自身场景自定义,若不对身份转换规则进行配置,则联邦用户在华为云中的用户名默认为“FederationUser”,权限默认仅能访问华为云,没有其他任何权限。
基于SAML协议的IAM用户SSO配置概述 华为云与企业进行联邦认证登录时,华为云是服务提供商(SP),企业自有的身份管理系统是身份提供商(IdP),通过基于SAML协议的单点登录,企业员工在登录以后,将跳转至华为云平台,以IAM用户的方式访问华为云。 本节为您介绍企业IdP与华
本文简要讲述快速完成委托细粒度授权的必要操作,更多权限内容,详情请参考权限管理。 单击“下一步”,继续完成授权。 选择上一步创建的自定义策略或者“Agent Operator”权限,单击“下一步”。 自定义策略:用户仅能管理指定ID的委托,不能管理其他委托。 “Agent Operator”权限:用户可以管理所有委托。
AM控制台为其授予权限。授权后,用户即可根据权限使用账号中的云服务资源。 约束与限制 一个用户基于企业项目可绑定的权限数(包括系统权限和自定义策略)上限为500个。 操作步骤 管理员登录IAM控制台。 管理员在用户列表中,单击新建的用户,右侧的“授权”。 图1 IAM用户授权 在授权页面,选择授权方式和权限。
参数 是否必选 参数类型 描述 X-Idp-Id 是 String 身份提供商ID。 表2 请求Body参数 参数 是否必选 参数类型 描述 auth 是 object 请求auth参数详情。 表3 GetIdTokenAuthParams 参数 是否必选 参数类型 描述 id_token
表1 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 否 String 该字段内容填为“application/json;charset=utf8”。 表2 请求Body参数 参数 是否必选 参数类型 描述 auth 是 Object 认证信息。 表3
String 资源链接地址。 表5 versions.values.media-types 参数 参数类型 描述 type String 媒体类型。 base String 基础类型。 请求示例 查询Keystone API的版本信息。 GET https://iam.myhuaweicloud
表3 响应Header参数 参数 参数类型 描述 X-Subject-Token String 签名后的Token。 表4 响应Body参数 参数 参数类型 描述 token object 获取的token详情。 表5 token 参数 参数类型 描述 expires_at String
请求Body参数 参数 是否必选 参数类型 描述 identity_provider 是 Object 身份提供商信息。 表4 identity_provider 参数 是否必选 参数类型 描述 sso_type 否 String 身份提供商类型。当前支持如下两种: virtual
href String 资源链接地址。 表4 version.media-types 参数 参数类型 描述 type String 媒体类型。 base String 基础类型。 请求示例 查询Keystone API的3.0版本信息。 GET https://iam.myhuaweicloud
如果系统策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图两种自定义策略配置方式。 图4 权限内容示例 身份凭证 身份凭证是识别用户身份的
token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 protocol 是 Object 协议信息。 表4 protocol 参数 是否必选 参数类型 描述 mapping_id 否 String 映射ID。身份提供商类型为iam_user_sso时,不需要绑定映射ID,无需传入此字段;否则此字段必填。
/v3/OS-FEDERATION/mappings/{id} 表1 路径参数 参数 是否必选 参数类型 描述 id 是 String 待查询的映射ID。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“applica
token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 protocol 是 Object 协议信息。 表4 protocol 参数 是否必选 参数类型 描述 mapping_id 否 String 映射ID。身份提供商类型为iam_user_sso时,不需要绑定映射ID,无需传入此字段;否则此字段必填。
是否必选 参数类型 描述 mapping 是 Object 映射信息。 表4 mapping 参数 是否必选 参数类型 描述 rules 是 Array of objects 将联邦用户映射为本地用户的规则列表。 表5 mapping.rules 参数 是否必选 参数类型 描述 local
是否必选 参数类型 描述 mapping 是 Object 映射信息。 表4 mapping 参数 是否必选 参数类型 描述 rules 是 Array of objects 将联邦用户映射为本地用户的规则列表。 表5 mapping.rules 参数 是否必选 参数类型 描述 local
响应参数 表5 响应Body参数 参数 参数类型 描述 identity_provider Object 身份提供商信息。 表6 identity_provider 参数 参数类型 描述 sso_type String 身份提供商类型。 id String 身份提供商ID。 description
y 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 账号ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String
id String 区域ID。 type String 区域类型。 表5 region.links 参数 参数类型 描述 self String 资源链接地址。 表6 region.locales 参数 参数类型 描述 zh-cn String 区域的中文名称。 en-us String
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
