检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
进入“策略设置”页签,配置权限集的系统策略、自定义身份策略和自定义策略,单击“下一步”。 您可以选择仅启用身份策略,启用后系统策略列表中将仅显示身份策略,自定义策略配置框也将隐藏。 系统策略:在列表中直接选择云服务在IAM预置的系统策略,系统策略分为策略和身份策略两种类型。
可以统一管理企业中使用华为云的用户,一次性配置企业的身份管理系统与华为云的单点登录,以及所有用户对组织下账号的访问权限。
系统策略 无 IdentityCenter ReadOnlyAccess IAM身份中心只读权限,拥有该权限的用户仅能查看IAM身份中心数据。 系统策略 无 表2列出了IAM身份中心常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。
系统策略:在列表中直接选择云服务在IAM预置的系统策略,系统策略分为策略和身份策略两种类型。 自定义身份策略:如果系统身份策略无法满足您的授权要求,您可以创建自定义身份策略,对系统身份策略进行扩展和补充。当前支持通过可视化视图和JSON视图两种方式创建自定义身份策略。
对接企业身份管理系统 IAM身份中心可配置基于满足条件(SAML 2.0协议)的企业身份管理系统进行单点登录(SSO),直接使用企业身份管理系统的用户,无需再创建用户,提升企业用户管理效率,降低安全风险。
自定义用户门户URL 管理员开通IAM身份中心后,系统会自动生成唯一的用户门户URL,管理员可对此URL进行自定义修改,但仅支持修改一次,修改URL完成后,后续无法对其进行再次编辑。 操作步骤 登录华为云控制台。
向用户发送一封包含密码设置说明的邮件:系统通过邮件发送密码设置说明给用户,用户根据邮件说明设置密码。 生成随机的一次性密码:管理员创建用户成功后,系统会在创建成功的界面,显示自动生成的一次性密码信息。
SCIM自动配置 IAM身份中心支持使用跨域身份管理系统(SCIM)v2.0协议将用户/用户组信息从身份提供商(IdP)自动配置(同步)到IAM身份中心。
Okta IAM身份中心支持使用跨域身份管理系统(SCIM)v2.0协议将用户和用户组信息从Okta自动配置(同步)到IAM身份中心。您可以使用IAM身份中心生成的SCIM端点和访问令牌在Okta中配置此连接。
PermissionSet AttachManagedPolicyToPermissionSet 将附加的系统策略从指定的权限集中移除 PermissionSet DetachManagedPolicyFromPermissionSet 将系统管理角色附加到权限集 PermissionSet
创建IAM身份中心自定义策略 如果系统预置的IAM身份中心权限,不满足您的授权要求,可以创建自定义策略。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
系统提示开通成功。 具体请参见:注册华为账号并开通华为云。 参考实名认证完成企业账号实名认证。 因为IAM身份中心为免费服务,因此无需为账号充值。
API方式 如果用户需要将华为云上的IAM身份中心集成到第三方系统,用于二次开发,请使用API方式访问IAM身份中心,具体操作请参见《IAM身份中心API参考》。
一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。
手动配置 当某些外部身份提供商不支持跨域身份管理系统(SCIM),或具有不兼容的SCIM实现时,您需要通过IAM身份中心手动配置用户和用户组。创建用户时,请确保将用户名和邮件地址设置为与外部身份提供商中的一致;创建用户组则不需要与外部身份提供商中存在的群组一致。
管理员开通IAM身份中心后,系统会自动生成唯一的用户门户URL,此管理员创建的所有用户均可使用此URL登录控制台。管理员可对用户门户URL进行一次自定义修改,具体请参见:自定义用户门户URL。 操作步骤 登录华为云控制台。
前提条件 给用户组授权之前,请您了解用户组可以添加的IAM身份中心权限,并结合实际需求进行选择,IAM身份中心支持的系统权限,请参见:权限管理。若您需要对除IAM身份中心之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。
可以统一管理企业中使用华为云的用户,一次性配置企业的身份管理系统与华为云的单点登录,以及所有用户对组织下账号的访问权限。 公测 什么是IAM身份中心
连接到基于SAML 2.0协议的外部身份提供商系统,例如微软AD和Okta: 允许管理员将IAM身份中心使用的SAML 2.0协议连接到外部身份提供商系统。 支持通过SCIM协议自动化用户预置过程。
系统将移除用户或组对应用程序的访问权限。 图3 移除应用程序的访问权限 父主题: 管理应用程序访问
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
