检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
类型 身份提供商类型。一个账号下只能存在一种类型的身份提供商。本章介绍虚拟用户SSO,此处选择虚拟用户SSO。 虚拟用户SSO:该身份提供商中的用户登录华为云后,系统为其自动创建虚拟用户信息。一个账号可以创建多个虚拟用户SSO类型的身份提供商。 状态 身份提供商的状态。
如果IAM用户仅需编程访问华为云服务,建议访问方式选择编程访问,凭证类型为访问密钥。 如果IAM用户需要使用密码作为编程访问的凭证(部分API要求),建议访问方式选择编程访问,凭证类型为密码。
如果IAM用户仅需登录管理控制台访问云服务,建议访问方式选择管理控制台访问,凭证类型为密码。 如果IAM用户仅需编程访问华为云服务,建议访问方式选择编程访问,凭证类型为访问密钥。
图2 云服务委托名称 “委托类型”选择“云服务”,在“云服务”中选择需要授权的云服务。 选择“持续时间”。 (可选)填写“委托描述”。建议填写描述信息。 单击“完成”。 如您不需要给委托授权,在授权的确认弹窗中单击“取消”,可以直接返回委托列表进行查看创建成功的委托。
收集范围 IAM收集及产生的个人数据如表1所示: 表1 个人数据范围列表 类型 收集方式 用途 是否可以修改 是否必须 用户名 在创建用户时由用户在界面输入用户名 在调用API接口时输入用户名 标识用户身份 控制台界面或API调用时进行身份认证 管理员权限可通过API修改 是 用户名是用户的身份标识信息
图2 委托名称 “委托类型”选择“普通账号”,在“委托的账号”中输入需要建立委托关系的其他账号的账号名。 普通账号:将资源共享给其他账号或委托更专业的人或团队来代为管理账号中的资源。委托的账号只能是账号,不能是联邦用户、IAM用户。 云服务:授权指定云服务使用其他云服务。
仅支持IPv4类型的地址。 允许访问的IP地址区间 图1 允许访问的IP地址区间 限制用户只能从设定范围内的IP地址访问华为云,可以在0.0.0.0~255.255.255.255之间设置。默认值为0.0.0.0~255.255.255.255。
“委托类型”选择“普通账号”,在“委托的账号”中填入B公司的华为账号名称,例如“B-Company”。 设置“持续时间”为永久。 图2 创建委托 单击“完成”。 在授权的确认弹窗中,单击“立即授权”。 选择权限“VPC FullAccess”,单击“下一步”。
CTS可记录的IAM操作列表详见开通云审计服务中的“CTS支持的IAM操作列表”。用户开通云审计服务并创建和配置追踪器后,CTS开始记录操作事件用于审计,开通方法参见开通云审计服务。开通云审计服务后,可查看IAM的云审计日志,云审计服务保存最近7天的操作日志。
URI GET /v3-ext/auth/OS-FEDERATION/SSO/metadata 请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 unsigned 否 Boolean 是否按SAML2.0规范对元数据做签名,默认为false。
“凭证类型”选择“首次登录时设置”。 “登录保护”选择“开启”,并选择身份验证方式,单击“下一步”。 在“加入用户组”页面,选择步骤2中创建的用户组“委托管理”,单击“创建用户”。 切换角色。 使用步骤3创建的用户,使用“IAM用户登录”方式,登录华为云。
在创建委托页面,设置“委托名称” “委托类型”选择“云服务”,在“云服务”中选择“弹性云服务器 ECS 裸金属服务器 BMS”。 图4 创建委托 选择“持续时间”。 (可选)填写“委托描述”。建议填写描述信息。 单击“完成”。 在授权的确认弹窗中,单击“立即授权”。
“委托名称”以“testagency”为例,“委托类型”必须选择“普通账号”,“委托的账号”填写“DomainA”,“持续时间”根据具体情况选择,并单击“下一步”。 图1 创建委托 选择权限的作用范围,勾选需要授予委托的权限,给委托授权。
表1 CTS支持的IAM操作列表 操作名称 资源类型 事件名称 用户登录 user login 用户登录失败(华为账号登录失败不记录) user loginFailed 用户登出 user logout 二维码登录 user scanQRCodeLogin 二维码登录失败 user
OS_AUTH_TYPE 认证类型,固定值为v3samlpassword。 OS_AUTH_URL 格式为“https://IAM地址:端口号/接口版本”。 端口号:固定值为“443”。 接口版本:固定值为“v3”。
权限管理 权限基本概念 角色 策略 系统策略更名详情 查看授权记录 自定义策略
枚举值: openid email profile 授权请求Response type 授权请求返回参数类型,默认必选id_token。 仅访问方式为“编程访问和管理控制台访问”时需要填写。
参考获取联邦认证unscoped token(IdP initiated) Client4ShibbolethIdP脚本实现: # Set headers headers = {} headers["X-Idp-Id"] = "test_local_idp" # IAM API
409 Conflict 服务器在完成请求时发生冲突。 返回该状态码,表明客户端尝试创建的资源已经存在,或者由于冲突请求的更新操作不能被完成。 410 Gone 客户端请求的资源已经不存在。 返回该状态码,表明请求的资源已被永久删除。
委托 委托根据委托对象的不同,分为委托其他账号和委托其他云服务。 委托其他账号:通过委托信任功能,您可以将自己账号中的资源操作权限委托给更专业、高效的其他账号,被委托的账号可以根据权限代替您进行资源运维工作。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
