华为云用户手册

创建 SMS 全局级云服务自定义策略 参考创建自定义策略中的“JSON视图配置自定义策略”，创建 IAM 自定义策略。 JSON视图策略内容如下：（将如下内容复制到策略内容中） { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "sms:server:registerServer", "sms:server:migrationServer", "sms:server:queryServer" ] } ] } 在 统一身份认证 服务，左侧导航窗格中，选择“用户组”，进入用户组列表页面。 单击创建的用户组“Test_EPS”名称，进入“授权记录”页签。 单击“授权”，勾选创建的SMS全局级云服务自定义策略，单击“下一步”。 授权范围选择“所有资源”，单击“确定”。

创建企业项目 请参考企业管理快速入门，完成创建用户组“Test_EPS”、创建IAM用户“Test_EPS_User”、为用户组“Test_EPS”添加IAM用户“Test_EPS_User”、创建企业项目“Test_EPS_Project”等操作。 本文中出现的“Test_EPS”、“Test_EPS_User”、“Test_EPS_Project”名称均为举例，在实际的创建中，需要您自定义名称。

操作步骤 获取目的端服务器所在账号的AK/SK。 如果您需要直接使用账号来进行 主机迁移 ，具体步骤请参见获取AK/SK（账号）。 如果您在此账号中创建了IAM用户，授予此IAM用户对应的权限后使用此IAM用户创建AK/SK，具体步骤请参见获取AK/SK（IAM用户）。 在源端服务器上安装迁移Agent，具体步骤请参见在源端上安装迁移Agent。 安装完成后，进入Agent安装目录，如C:\SMS-Agent-Py?\config，按如下所示修改配置文件disk.cfg。 [vol_mount_modify] D=2 E=2 D=2，E=2说明是将D盘和E盘都迁移到E CS 的第2块磁盘，即ECS的数据盘。 双击SMS-Agent，打开迁移Agent，在迁移Agent中填写1中获取的AK/SK，并启动迁移Agent。 迁移Agent启动成功后会自动收集源端服务器信息并发送给 主机迁移服务 ，主机迁移服务会自动校验源端服务器信息合法性以及是否可迁移。 迁移Agent启动成功后，使用目的端服务器所在的账号，登录主机迁移管理控制台，在“迁移服务器”页面的服务器列表中，查看源端服务器信息。 创建并启动迁移任务，具体步骤请参见设置迁移目的端，开始服务器复制并启动目的端。 迁移任务完成后，目的端ECS会有一个单独系统盘和数据盘。 迁移完成后目的端服务器的登录方式与源端服务器的登录方式保持一致。 （可选）启动目的端后，如果您的源端服务器有增量数据，您可以使用同步功能，同步源端增量数据。单击操作列的“同步”，单击“是”，开始进行增量数据同步。

操作步骤 获取目的端服务器所在账号的AK/SK。 如果您需要直接使用账号来进行主机迁移，具体步骤请参见获取AK/SK（账号）。 如果您在此账号中创建了IAM用户，授予此IAM用户对应的权限后使用此IAM用户创建AK/SK，具体步骤请参见获取AK/SK（IAM用户）。 在源端服务器上安装迁移Agent，具体步骤请参见在源端上安装迁移Agent。 安装完成后，双击SMS-Agent，打开迁移Agent，在迁移Agent中填写1中获取的AK/SK，并启动迁移Agent。 迁移Agent启动成功后会自动收集源端服务器信息并发送给主机迁移服务，主机迁移服务会自动校验源端服务器信息合法性以及是否可迁移。 迁移Agent启动成功后，使用目的端服务器所在的账号，登录主机迁移管理控制台，在“迁移服务器”页面的服务器列表中，查看源端服务器信息。 创建并启动迁移任务，具体步骤请参见设置迁移目的端，开始服务器复制并启动目的端。 迁移完成后目的端服务器的登录方式与源端服务器的登录方式保持一致。 （可选）启动目的端后，如果您的源端服务器有增量数据，您可以使用同步功能，同步源端增量数据。单击操作列的“同步”，单击“是”，开始进行增量数据同步。

操作步骤 获取目的端服务器所在账号的AK/SK。 如果您需要直接使用账号来进行主机迁移，具体步骤请参见获取AK/SK（账号）。 如果您在此账号中创建了IAM用户，授予此IAM用户对应的权限后使用此IAM用户创建AK/SK，具体步骤请参见获取AK/SK（IAM用户）。 在源端服务器上安装迁移Agent，具体步骤请参见在源端上安装迁移Agent。 安装完成后，双击SMS-Agent，打开迁移Agent，在迁移Agent中填写1中获取的AK/SK，并启动迁移Agent。 迁移Agent启动成功后会自动收集源端服务器信息并发送给主机迁移服务，主机迁移服务会自动校验源端服务器信息合法性以及是否可迁移。 迁移Agent启动成功后，使用目的端服务器所在的账号，登录主机迁移管理控制台，在“迁移服务器”页面的服务器列表中，查看源端服务器信息。 创建并启动迁移任务，具体步骤请参见设置迁移目的端，开始服务器复制并启动目的端。 如果源端和目的端在华为云的同一个VPC里面，“网络类型”可以私网，迁移时会使用目的端的私有IP建立数据连接，目的端不需要配置弹性IP。迁移完成后目的端服务器的登录方式与源端服务器的登录方式保持一致。 源端和目的端处于同一账号、同一region、不同VPC下时，需要创建同一账户下的对等连接，然后“迁移网络类型”可以选择私网 源端和目的端处于不同账号、同一region、不同VPC下时，需要创建不同账户下的对等连接，然后“迁移网络类型”可以选择私网。 （可选）启动目的端后，如果您的源端服务器有增量数据，您可以使用同步功能，同步源端增量数据。单击操作列的“同步”，单击“是”，开始进行增量数据同步。

安全加固（可选） 修改sshd_config文件。 MaxAuthTries 6 LoginGraceTime 60 PasswordAuthentication no 禁用history。 打开终端，输入以下命令 sudo nano ~/.bashrc 在文件末尾添加以下内容 unset HISTFILE 保存并退出后输入以下命令生效 source ~/.bashrc 防止暴力破解。 可以在/etc/pam.d/password-auth中设置，HCE系统中默认设置为 auth sufficient pam_faillock.so authsucc audit deny=3 even_deny_root unlock_time=60 表示使用pam_faillocl模块，如果登录失败3次，即使是root用户，锁定30s。 设置密码复杂度。 在/etc/pam.d/system-auth中找到password requisite pam_pwquality.so try_first_pass~~~~，在后面添加enforce_for_root minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1，如下： password requisite pam_pwquality.so try_first_pass local_users_only enforce_for_root minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 修改umask。umask是一个用于设置文件和目录默认权限的命令，umask中的值需要修改成027。 打开终端并输入以下命令打开.bashrc文件 nano ~/.bashrc 在文件的末尾添加 umask 027 保存并关闭文件，然后输入以下命令使更改生效。 source ~/.bashrc 删除系统残留工具，系统残留工具会增加系统的攻击面，并误导安全软件。 在操作系统中查看是否存在如下应用（包括但不限于）： tcpdump，sniffer，wireshark，Netcat，基于winPcap开发的其他嗅探工具等。 gdb，strace，readelf，cpp，gcc，dexdump，mirror，JDK等开发和调试工具及其他仅在调试阶段使用的自研工具或脚本。

Linux部分： 需要创建~\smsMetadataAgent目录，目录中包含bin，Python，smsAgent 文件夹。 名称 作用 位置 bin 存放开机自启动脚本和peagent目录 ~\smsMetadataAgent\bin smsAgent 利用python获取元数据的目录 ~\smsMetadataAgent\smsAgent 同样需要注入公私钥，可以参考Windows部分从metedata中进行获取。 名称 作用 作用于的文件 sms_rsa_part（待弃用） ssh公钥（主机认证，身份认证) root/.ssh/authorized_keys，/etc/ssh/ssh_host_rsa_key.pub sms_rsa_pri_part（待弃用） ssh私钥（主机认证，身份认证) /etc/ssh/ssh_host_rsa_key sms_rsa_host_old 新ssh公钥（主机认证) /etc/ssh/ssh_host_rsa_key.pub sms_rsa_host_old_pri 新ssh私钥（主机认证) /etc/ssh/ssh_host_rsa_key sms_rsa_identity ssh公钥证书（身份认证） /root/.ssh/authorized_keys cert_part（待弃用） TSL1.2认证公钥 /home/config/cert.pem prikey_part（待弃用） TSL1.2认证私钥 /home/config/prikey.pem Linux开机自动运行脚本，将对应值写入对应文件即可。

Windows部分： 创建C:\smsWindowesAgent文件夹，在该文件夹下创建bin，Python，smsAgent等文件夹。 名称 作用 位置 bin 存放开机自启动脚本和peagent目录 C:\smsWiondowesAgent\bin python 安装python的目录 C:\smsWiondowesAgent\python smsAgent 利用python获取元数据的目录 C:\smsWiondowesAgent\smsAgent peagent 存放源端传输到目的端的迁移组件 C:\smsWiondowesAgent\bin\peagnet smsAgent文件夹中包含所有的获取证书的逻辑。 sms-agent将ssh公钥和私钥，上传到ECS的metedata中，需要编写脚本，从metedata中获取该数据，元数据中主要分为三个部分。 名称 作用 作用于的文件 sms_rsa_part（待弃用） ssh公钥（主机认证，身份认证) C:\Users\Administrator\.ssh\authorized_keys,C:\ProgramData\ssh\ssh_host_rsa_key.pub sms_rsa_pri_part（待弃用） ssh私钥（主机认证，身份认证) C:\ProgramData\ssh\ssh_host_rsa_key sms_rsa_host_old 新ssh公钥（主机认证) C:\ProgramData\ssh\ssh_host_rsa_key.pub sms_rsa_host_old_pri 新ssh私钥（主机认证) C:\ProgramData\ssh\ssh_host_rsa_key sms_rsa_identity ssh公钥证书（身份认证） C:\Users\Administrator.ssh\authorized_keys cert_part（待弃用） TSL1.2认证公钥 C:\smsWindowesAgent\bin\peAgent\config\cert.pem prikey_part（待弃用） TSL1.2认证私钥 C:\smsWindowesAgent\bin\peAgent\config\prikey.pem sms_rsa_part和sms_rsa_pri_part为通信用的ssh公钥和私钥。需要从目的端metedata中获取sms_rsa_part中的公钥和私钥，写入作用的文件。 bin目录下包含开机自启动需要包含的脚本，检测是否有peagent.exe程序在运行。 'tasklist /nh /fi "imagename eq peAgent.exe' 如果没有则持续开始启动peAgent.exe文件 start cmd /k "C:\smsWindowesAgent\bin\peAgent\peAgent.exe" 如果有则结束该脚本 注意该部分需要在smsAgent执行结束后，再执行该部分逻辑。

WindowsPy3版本： 登录SMS控制台，在左侧导航树，单击“迁移Agent"，进入"迁移Agent"页面。 下载Windows Py3版本Agent，并上传源端服务器，双击“SMS-Agent-P3.exe”文件，安装SMS-Agent。安装完成后，进入SMS-Agent图形界面。 输入AK/SK，sms_domain成功启动SMS-Agent后。 进入SMS-Agent安装目录，如C:\SMS-Agent-Py3\config目录下，修改cloud-region.json文件。 查找cloud-region.json文件中关键字“windows_ssh_image_id"，将图中箭头处的镜像id，替换成用户自制镜像的镜像id。

Linux 版本 登录SMS控制台，在左侧导航树，单击“迁移Agent"，进入"迁移Agent"页面 下载Linux版本Agent，并上传源端服务器。 执行以下命令，解压Agent软件包。 tar -zxvf SMS-Agent.tar.gz 执行以下命令，启动迁移Agent。 ./startup.sh 输入AK/SK，sms_domain成功启动SMS-Agent后。 进入SMS-Agent安装目录，如~\SMS-Agent\agent\config\cloud-region.json目录下，修改cloud-region.json文件。 查找cloud-region.json文件中关键字“linux_image_id"，将图中箭头处的镜像id，替换成用户自制镜像的镜像id。

Windows Py2版本： 登录SMS控制台，在左侧导航树，单击“迁移Agent"，进入"迁移Agent"页面。 下载Windows Py2版本Agent，并上传源端服务器，双击“SMS-Agent-Py2.exe”文件，安装SMS-Agent。安装完成后，进入SMS-Agent命令行页面。 输入AK/SK，sms_domain成功启动SMS-Agent后。 进入SMS-Agent安装目录，如C:\SMS-Agent-Py2\config目录下，修改cloud-region.json文件。 查找cloud-region.json文件中关键字“windows_ssh_image_id"，将图中箭头处的镜像id，替换成用户自制镜像的镜像id。

（可选）角色配置 可以按照如下操作配置自建应用的角色并为角色关联权限或权限集，并配置数据范围，也支持批量导入角色配置数据，当角色配置后，支持导出已配置的角色数据。 新建角色。 在“角色管理”页签，单击“新建角色”。 配置角色信息，具体参数请参见表4，配置完成后，单击“确定”。 表4 角色信息参数说明 参数名称 参数说明 角色编码 自定义角色编码，最多可输出64个字符。 角色名称 自定义角色名称，最多可输出32个字符。 角色描述 填写角色描述，最多可输出256个字符。 最大可申请时间 可以设置该角色可申请的最大时间，即用户申请该角色权限时可申请的最长时间。 单位为天，如设置180天，用户申请该角色权限时，权限的有效期最多只能设置到180天后。如不设置，则默认用户申请后权限3年内有效。 审批人 需要设置用户申请该角色权限时的审批人，如需添加第二个审批人，可单击“+”添加。 按照角色审批：按照角色设置审批人，需要选择是否为OrgID应用角色，并选择对应角色。 按照用户审批：直接指定审批人。 OrgID应用角色 选择是否为OrgID应用角色。 是：选择OrgID应用角色，包括部门管理员、组织管理员、超级管理员。 否：选择已创建的应用角色。 新增权限。 在“权限管理”页签，单击“新增权限”。 配置权限信息，具体参数请参见表5，配置完成后，单击“确定”。 表5 权限信息参数说明 参数名称 参数说明 权限编码 自定义权限编码，最多可输出64个字符。 权限名称 自定义权限名称，最多可输出32个字符。 权限描述 填写权限描述，最多可输出256个字符。 权限类型 可以按照应用的API、菜单、按钮分别设置权限。 权限内容 设置具体的权限内容，使用英文逗号隔开。 其中API权限需要输入正确的API格式，包括接口方法和路径，如：POST /v1/xxx,GET /v1/xxx。 （可选）新增权限集。 在“权限集管理”页签，单击“新增权限集”。 配置权限集信息，具体参数请参见表6，配置完成后，单击“确定”。 表6 权限集信息参数说明 参数名称 参数说明 权限集编码 自定义权限集编码，最多可输出64个字符。 权限集名称 自定义权限集名称，最多可输出64个字符。 权限集描述 填写权限集描述，最多可输出256个字符。 权限 选择已新增的权限。 为角色配置权限或权限集。 配置权限 在“角色管理”页签，角色列表中，单击已创建的角色所在行“操作”列的“权限配置”。 单击“添加权限”。 可以在不同页签分别勾选已创建的权限，然后单击“确定”。 完成角色与权限的关联，当用户申请相应角色权限后，拥有该角色关联的权限。 配置权限集 在“角色管理”页签，角色列表中，单击已创建的角色所在行“操作”列的“权限集配置”。 单击“添加权限集”。 勾选已新增的权限集，然后单击“确定”。 完成角色与权限集的关联，当用户申请相应角色权限后，拥有该角色关联的权限集的全部权限。 新增数据范围并指定具体的数据明细。 在“数据范围”页签，单击“新增数据范围”。 输入数据范围编码、数据范围名称、数据范围描述以及父数据范围，然后单击“确定”。 新增后列表显示已新增的数据范围。 在数据范围列表中，单击已新增的数据范围所在行“操作”列的“数据明细”。 单击“新增”。 输入明细编码、明细名称、明细描述，然后单击“确定”。 如需批量导入数据明细，可单击“导入”，单击“下载空白模板”，在模板中编辑数据明细，然后上传文件，单击“提交”。 为角色添加数据范围。 在“角色管理”页签，角色列表中，单击已创建的角色所在行“操作”列的“数据范围”。 单击“添加数据范围”。 勾选已新增的数据范围，然后单击“确定”。

（可选）访问控制策略配置 当需要控制用户在指定的时间或区域范围内访问应用时，可开启访问控制开关。 配置默认策略。默认策略可选择“允许所有用户访问”或“拒绝所有用户访问”。 单击“添加策略”，配置策略参数，参数说明如表3所示。 策略添加完成后，可单击“是否生效”列的开启策略。开启后可单击“是否生效”列的关闭策略。 表3 添加策略参数说明 参数名称 参数说明 策略名称 应用访问策略的名称。 描述 可选项，应用访问策略的描述信息。 访问时间 可选择任意时间、指定星期范围内或指定日期范围内。 区域范围 可选择不限定或指定ip段。 选择指定ip段后，需先添加区域范围，包括设置区 域名 称、区域网段和描述信息。然后选择已添加的区域范围即可。 - 勾选访问策略。 允许访问：符合设置的访问时间或区域范围的用户允许访问该应用。 拒绝：符合设置的访问时间或区域范围的用户无法访问该应用。 二次验证：符合设置的访问时间或区域范围的用户可以使用手机验证码进行验证，验证通过后即可访问该应用。

认证集成配置 选择认证集成方式：OAuth2、OIDC、SAML、CAS3，选择后不支持修改。 根据选择的认证集成方式不同，需要配置不同的参数，参数说明如表1所示。配置完成后，单击“保存”。 表1 认证集成配置参数说明 认证集成方式 参数名称 参数说明 OAuth2 首页URL 应用首页的URL地址，例：https://xx.xx。 支持设置多个首页的URL地址，可单击“新建URL”，添加新的URL地址。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 Refresh Token有效期（秒） 允许用户在多久时间内不用重新登录应用的时间。 Access Token有效期（秒） 允许用户在多久时间内保持登录应用的时间。 OIDC 首页URL 应用首页的URL地址，例：https://xx.xx。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 授权码模式 可选项，是否开启授权码模式。 TOKEN签名算法 支持选择：RS256、RS384、RS512。 Access Token有效期（秒） 允许用户在多久时间内保持登录应用的时间。 Refresh Token有效期（秒） 允许用户在多久时间内不用重新登录应用的时间。 SAML SP Entity ID SP唯一标识，对应SP元数据文件中的“Entity ID”的值。 断言消费地址(ACS URL) SP回调地址（断言消费服务地址），对应SP元数据文件中“AssertionConsumerService”的值，即当认证成功后响应返回的值。 Name ID 用户在应用系统中的账号名对应字段，支持选择：邮箱、手机号、用户名、用户ID、账号名。 NameID Format 可选项，SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。支持选择： urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:persistent Audience URI 可选项，允许使用SAML断言的资源，默认和SP Entity ID相同。 Single Logout URL 可选项，服务提供商提供会话注销功能，用户在OrgID注销会话后返回绑定的地址。对应SP元数据文件中“SingleLogoutService” 的值。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。 默认Relay State 可选项，使用在IdP发起的认证中，作为默认的一个值。 支持ForceAuth 可选项，如果SP要求重新认证，则强制用户再次认证。 Response签名 可选项，是否对SAML Response使用IdP的证书签名。 断言签名 可选项，断言需使用IdP的证书签名，对应SP元数据文件中“WantAssertionsSigned”值。 数字签名算法 可选项，SAML Response或者断言签名的算法。支持RSA_SHA256、RSA_SHA512、RSA_RIPEMD160，可在下拉框选择。 数字摘要算法 可选项，SAML Response或者断言的数字摘要算法。支持SHA256、SHA512、RIPEMD160，可在下拉框选择。 验证请求签名 可选项，是否对SAML Request签名进行验证，对应SP元数据文件中“AuthnRequestsSigned”值。 CAS3 首页URL 应用首页的URL地址，例：https://xx.xx。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 （可选）如果需要关联OrgID和自建应用的用户属性，可选择“映射配置”页签，单击“添加映射”，选择关联属性和映射属性，单击“确认”保存映射，单击“测试”，测试映射关系是否成立。 需要修改映射时，可单击操作列的“编辑”进行修改。

（可选）登录配置 （可选）如果需要获取首页URL或管理员登录URL供其他用户使用，可单击获取。 管理员登录URL为空即表示在5中未配置管理员登录地址。 （可选）如果已进行认证源管理，可选择开启认证源。最多可以开启3个认证源，例如可以同时开启钉钉和2个OAuth认证源。根据开启的认证源类型不同，界面操作不同，具体如下。 开启组织社交认证源（钉钉、企业微信或Welink）：开启后，界面提示“保存成功”即成功开启。 开启组织认证源（OAuth、CAS、SAML、OIDC或AD）：开启后，需要选择关联的认证源，最多可关联3个，单击“保存”，界面提示“保存成功”即成功开启。 开启后，登录页会新增“其他方式登录”选项，可选择使用该认证源登录应用。

授权管理配置 单击“授权设置”，在“授权提醒”页面确认授权信息。 在“授权设置”页面选择可用成员范围，可勾选“全员可用”或“自定义人员范围”，勾选“自定义人员范围”后可以指定成员、部门或者用户组，然后单击“确认”。 设置后，应用授权范围中会显示授权部门、授权人员或授权用户组信息。同时，授权用户列表中也会展示授权账号的详细情况（包括姓名、账号名、应用侧角色、来源、更新时间和同步状态），支持按照时间或账号名进行过滤查询。

（可选）同步集成配置 当需要同步应用的数据给第三方系统时，可开启同步集成开关，详细的同步数据请参见联营Kit接口描述联营Kit接口描述。 配置相关参数，参数说明如表2所示。 表2 同步集成配置参数说明 参数名称 参数说明 回调URL 用于同步该应用的数据给其他第三方系统的URL。 签名密钥 用于对回调消息体内容签名。 加密密钥 用于传输ClientSecret的加密公钥。 摘要算法 选择加密算法，如：SHA256或SHA1。 SHA1安全强度不高，不建议使用。

应用基本信息配置 登录管理中心。 选择左侧导航栏的“应用管理”。 单击“添加自建应用”。 输入应用名称，如“App-test”。 上传应用图标，图标要求必须为JPG或PNG格式，大小不超过20KB，尺寸240*240px。 选择应用类型，当前仅支持选择“Web”。 设置应用负责人，输入并选择成员姓名，将成员设置为应用负责人。 应用负责人即该应用的应用管理员，只有应用管理员才能更新该应用配置，其他管理员没有操作该应用的权限。 普通成员不能成为应用负责人，需先成为组织管理员、部门管理员才能被设置为应用负责人。 单击“确认”，进入认证集成页面。

管理中心首页功能介绍 管理中心首页不仅提供了完善组织架构、配置组织应用和探索更多操作的常用功能入口，还展示了组织的统计数据和应用管理的快捷入口，如图1所示。组织创建者或组织管理员可以通过管理中心快速访问所需功能，并了解组织的整体信息。 图1 管理中心首页 具体快捷功能如下： 完善组织架构：可快速访问成员管理页面。 配置组织应用：可快速访问应用管理页面。 探索更多操作：可快速访问OrgID帮助文档。 查看组织信息：可快速访问组织信息界面。 配置：可快速访问对应应用的配置页面。

申请权限 访问OrgID，进入用户中心首页。 在OrgID右上角账号名下拉列表中选择“我的权限”，进入“权限管理”页面，默认显示“我的权限”页签。 单击“申请权限”。 确认申请人账号，显示当前账号的姓名。 支持为其他成员申请权限，可在输入框中输入成员姓名并勾选该成员。 勾选需要申请的权限，然后单击“下一步”。 图1 申请权限 支持按照以下方式进行选择： 按角色分配权限：申请应用对应的角色权限，可申请OrgID管理中心的部门管理员、组织管理员和自建应用配置的角色。 按岗位分配权限：申请岗位权限，可申请岗位下全部应用角色权限，也可申请部分应用角色权限。 复制同事权限：输入同事姓名进行搜索，复制同事已有权限。 设置权限有效期，自建应用配置的角色还需要设置数据范围（该角色已添加包含数据明细的数据范围，如需配置可参考配置应用角色），填写申请原因，然后单击“提交”。 提交后，会进入用户中心，在“我的申请”中显示已提交的申请，可单击操作列“查看详情”，查看申请详情，也可以撤销该申请。

变更权限 访问OrgID，进入用户中心首页。 在右上角账号名下拉列表中选择“我的权限”，进入“权限管理”页面，默认显示“我的权限”页签。 在我的权限列表，勾选需要变更有效期或者数据范围的权限，然后单击列表上方的“变更权限”。 设置权限有效期，自建应用配置的角色还可以修改数据范围（该角色已添加包含数据明细的数据范围，如需配置可参考配置应用角色），填写申请原因，然后单击“提交”。 提交后，会进入用户中心，在“我的申请”中显示已提交的申请，可单击操作列“查看详情”，查看申请详情，也可以撤销该申请。

更多操作 您还可以进行以下操作。 表2 更多操作 操作名称 操作步骤 编辑岗位 在“岗位管理”页面，单击岗位所在行“操作”列的“编辑”。 编辑岗位信息，可以修改岗位名称、岗位描述和角色范围。 查看岗位详情 在“岗位管理”页面，单击岗位所在行“操作”列的“查看详情”，可以在详情页面查看该岗位的成员和该岗位拥有的角色。 移除成员 在“岗位管理”页面，单击岗位所在行“操作”列的“查看详情”。 在成员列表，单击待移除的成员所在行“操作”列的“移除”。 添加岗位角色 在“岗位管理”页面，单击岗位所在行“操作”列的“查看详情”。 单击“角色范围”，切换至“角色范围”页签。 单击“添加角色”。 勾选需要添加的角色。 删除岗位角色 在“岗位管理”页面，单击岗位所在行“操作”列的“查看详情”。 单击“角色范围”，切换至“角色范围”页签。 在角色列表，单击待删除的角色所在行“操作”列的“删除”。 删除岗位 在“岗位管理”页面，单击岗位所在行“操作”列的“删除”。

配置应用角色 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“角色配置”，进入“角色配置”页签，默认显示“角色管理”。 新建角色。 在“角色管理”页签，单击“新建角色”。 配置角色信息，具体参数请参见表1，配置完成后，单击“确定”。 表1 角色信息参数说明 参数名称 参数说明 角色编码 自定义角色编码，最多可输出64个字符。 角色名称 自定义角色名称，最多可输出32个字符。 角色描述 填写角色描述，最多可输出256个字符。 最大可申请时间 可以设置该角色可申请的最大时间，即用户申请该角色权限时可申请的最长时间。 单位为天，如设置180天，用户申请该角色权限时，权限的有效期最多只能设置到180天后。如不设置，则默认用户申请后权限3年内有效。 审批人 需要设置用户申请该角色权限时的审批人，如需添加第二个审批人，可单击“+”添加。 按照角色审批：按照角色设置审批人，需要选择是否为OrgID应用角色，并选择对应角色。 按照用户审批：直接指定审批人。 OrgID应用角色 选择是否为OrgID应用角色。 是：选择OrgID应用角色，包括部门管理员、组织管理员、超级管理员。 否：选择已创建的应用角色。 新增权限。 在“权限管理”页签，单击“新增权限”。 配置权限信息，具体参数请参见表2，配置完成后，单击“确定”。 表2 权限信息参数说明 参数名称 参数说明 权限编码 自定义权限编码，最多可输出64个字符。 权限名称 自定义权限名称，最多可输出32个字符。 权限描述 填写权限描述，最多可输出256个字符。 权限类型 可以按照应用的API、菜单、按钮分别设置权限。 权限内容 设置具体的权限内容，使用英文逗号隔开。 其中API权限需要输入正确的API格式，包括接口方法和路径，如：POST /v1/xxx,GET /v1/xxx。 （可选）新增权限集。 在“权限集管理”页签，单击“新增权限集”。 配置权限集信息，具体参数请参见表3，配置完成后，单击“确定”。 表3 权限集信息参数说明 参数名称 参数说明 权限集编码 自定义权限集编码，最多可输出64个字符。 权限集名称 自定义权限集名称，最多可输出64个字符。 权限集描述 填写权限集描述，最多可输出256个字符。 权限 选择已新增的权限。 为角色配置权限或权限集。 配置权限 在“角色管理”页签，角色列表中，单击已创建的角色所在行“操作”列的“权限配置”。 单击“添加权限”。 可以在不同页签分别勾选已创建的权限，然后单击“确定”。 完成角色与权限的关联，当用户申请相应角色权限后，拥有该角色关联的权限。 配置权限集 在“角色管理”页签，角色列表中，单击已创建的角色所在行“操作”列的“权限集配置”。 单击“添加权限集”。 勾选已新增的权限集，然后单击“确定”。 完成角色与权限集的关联，当用户申请相应角色权限后，拥有该角色关联的权限集的全部权限。 新增数据范围并指定具体的数据明细。 在“数据范围”页签，单击“新增数据范围”。 输入数据范围编码、数据范围名称、数据范围描述以及父数据范围，然后单击“确定”。 新增后列表显示已新增的数据范围。 在数据范围列表中，单击已新增的数据范围所在行“操作”列的“数据明细”。 单击“新增”。 输入明细编码、明细名称、明细描述，然后单击“确定”。 如需批量导入数据明细，可单击“导入”，单击“下载空白模板”，在模板中编辑数据明细，然后上传文件，单击“提交”。 为角色添加数据范围。 在“角色管理”页签，角色列表中，单击已创建的角色所在行“操作”列的“数据范围”。 单击“添加数据范围”。 勾选已新增的数据范围，然后单击“确定”。

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 error_code String 返回码 error_msg String 返回码描述 totalCount Long 返回数据总条数 reserve String 保留字段 datas Array of Role 相应参数 表4 Role 参数 参数类型 描述 id Long 角色ID description String 中文描述 name String 中文名称 descriptionEn String 英文描述 nameEn String 英文名称 roleType String 角色类型 表5 Teams 参数 参数类型 描述 teamId Long 团队角色ID teamName String 团队角色名称 teamRoles Arrays for Role 团队角色集合

响应示例 { "reserve": null, "datas": { "userRoles": [ { "id": -1, "description": "系统管理员", "name": "系统管理员", "roleType": "globalRole", "description_en": "", "name_en": "sysadmin" }, { "id": -4, "description": "合作伙伴管理员", "name": "合作伙伴管理员", "roleType": "globalRole", "description_en": "", "name_en": "partnerdmin" } ], "userTeams": [ { "teamId": "662706318057934848", "teamName": "team001", "teamRoles": [ { "id": 681912501788483584, "description": "", "name": "test0009", "roleType": "teamRole", "description_en": "", "name_en": "test0009" } ] }, { "teamId": "681912555060338688", "teamName": "test0009", "teamRoles": [ { "id": 681912501788483584, "description": "", "name": "test0009", "roleType": "teamRole", "description_en": "", "name_en": "test0009" } ] } ] }, "totalCount": null, "error_code": "IPDC.01020000", "error_msg": "success" }

响应示例 { "reserve": null, "datas": { "globalPrilivileges": [ { "globalId": "-1", "globalName": "系统管理员", "globalPrivileges": [ "messagemgmt", "deluser", "moduser", "deleteMessageTemplate", "modapply", "keymgmt", "delMessageForwardConfig", "addapply", "adduser", "transferUserRole", "usermgmt" ] }, { "globalId": "-2", "globalName": "安全保密员", "globalPrivileges": [ "qryApplyRecords", "delmember", "delayUserLicense", "transfer", "addmember", "qryUsersWithoutLicense", "viewmember" ] }, { "globalId": "-3", "globalName": "安全审计员", "globalPrivileges": [ "systemmgmt", "sysmgmt", "logmgmt" ] }, { "globalId": "676096115807883264", "globalName": "suntest001", "globalPrivileges": [ "upload-confirm", "integrationmgmt", "applyintegration", "sysmgmt" ] }, { "globalId": "678294893122031616", "globalName": "suntest0010", "globalPrivileges": [ "sysmgmt", "integrationmgmt" ] } ], "teamList": [ { "teamId": "662706318057934848", "teamName": "team001", "teamRoles": [ { "teamRoleId": "681912501788483584", "teamRoleName": "test0009", "globalPrivileges": [ "logmgmt", "sysmgmt", "systemmgmt" ] } ] }, { "teamId": "681912555060338688", "teamName": "test0009", "teamRoles": [ { "teamRoleId": "681912501788483584", "teamRoleName": "test0009", "globalPrivileges": [ "applyintegration", "sysmgmt", "integrationmgmt", "upload" ] } ] } ] }, "totalCount": null, "error_code": "IPDC.01020000", "error_msg": "success" }

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 error_code String 返回码 error_msg String 返回码描述 totalCount Long 返回数据总条数 reserve String 保留字段 datas FuncPrivilege 功能权限 表4 FuncPrivilege 参数 参数类型 描述 globalPrilivileges Array of GlobalPrilivilege 全局角色权限列表 teamList Array of Team 团队权限 表5 GlobalPrilivilege 参数 参数类型 描述 globalId String 全局角色id globalName String 全局角色名称 globalPrivileges Array of String 拥有的权限列表 表6 Team 参数 参数类型 描述 teamId String 团队ID teamName String 团队名称 teamRoles Array of teamRole 团队角色列表 表7 TeamRole 参数 参数类型 描述 teamRoleId String 团队角色ID teamRoleName String 团队角色名称 globalPrivileges Array of teamRole 拥有的权限列表

接口说明 表1 IPDCenter基础服务接口说明（消息中心） 类型 说明 消息中心 消息中心发送消息 查询消息模板信息 表2 IPDCenter基础服务接口说明（用户组织管理） 类型 说明 用户组织管理 数据权限管理 组织管理接口 用户管理接口 表3 IPDCenter基础服务接口说明（流程定义） 类型 说明 查看流程模板 获取流程模板列表 查看导航 获取导航树 管理任务 保存申请单草稿 启动流程 完成任务 撤销流程 查询任务 我发起的流程 我的任务 查询流程列表 查询流程实例列表 查询任务列表 查询我的申请单草稿 表4 IPDCenter基础服务接口说明（其他） 类型 说明 生命周期数据模型 生命周期数据模型API 编码发生器 编码发生器API 轻量化模型转换 轻量化模型转换API ISV认证源集成 ISV认证源集成API 表5 数字化制造云平台接口说明 类型 说明 生产数据管理 导入工单 获取工单产品信息 按工单获取工单相关信息 批量取消工单 批量删除工单 分页查询工单 批量生成工单方案 批量实例化工单

响应示例 { "code": "PUB-000000", "message": "success", "datas": [ { "tenantId": "9190086000001150600", "userId": "1008600000009092025", "username": "zhangjie@ipdcenter203.huaweiapaas.com", "nickname": "zhangjie", "orgCode": null, "email": "", "userLevel": 5, "effectTime": "2024-11-25 14:55:39", "expiredTime": "2099-12-31 23:59:59", "reserve1": "42db32e1-721d-4964-83bd-58539b3c8c9d", "reserve2": "IPDCenter", "reserve3": null, "reserve4": null, "reserve5": null, "password": null, "status": 1, "modifyPwdFlag": 0, "salt": null, "userRoleLists": [ { "roleId": "715298436940845056", "roleName": "角色桌面", "description": null, "roleType": "XDMRole" }, { "roleId": "-2", "roleName": "安全保密员", "description": "负责权限审批、应用授权普通用户和安全审计员操作行为审查", "roleType": "XDMRole" }, { "roleId": "-1", "roleName": "系统管理员", "description": "负责系统运行维护", "roleType": "XDMRole" }, { "roleId": "-5", "roleName": "通用角色", "description": "通用角色，所有用户默认拥有", "roleType": "XDMRole" } ], "userGroups": [ { "groupId": 702479311914934272, "name": "ddcpypbbml", "descripation": "ddcpypbbml" }, { "groupId": 703929132727148544, "name": "test1128", "descripation": "test1128" }, { "groupId": 703989358998339584, "name": "test1128test_副本1", "descripation": "test1128" }, { "groupId": 713045648651325440, "name": "t123", "descripation": "t123" } ], "isLoginLimited": 0 } ], "totalCount": 1 }

权限类型 权限分为两部分：access权限和squash权限。 表1 access权限 权限 描述 rw 用户拥有读写权限 ro 用户拥有只读权限 none 用户无权限访问 表2 squash权限 权限 描述 all_squash 所有的用户访问时权限降为nobody root_squash root用户访问时权限降为nobody no_root_squash 包括root用户在内的任何用户访问时权限都不会降为nobody