华为云用户手册

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 protect_policy 是 ProtectPolicyOption object 操作保护策略。 表4 protect_policy 参数 是否必选 参数类型 描述 operation_protection 是 boolean 是否开启操作保护，开启为"true"，不开启为"false"。 allow_user 否 AllowUserBody object 管理员设置 IAM 子用户可以自主修改的属性。 mobile 否 String 操作保护验证指定手机号码，admin_check为on、scene为mobile时，必须填写。示例:0086-123456789。 admin_check 否 String 是否指定人员验证。on为指定人员验证，必须填写scene参数。off为操作员验证。 email 否 String 操作保护验证指定邮件地址，admin_check为on、scene为email时，必须填写。示例:example@email.com。 scene 否 String 操作保护指定人员验证方式，admin_check为on时，必须填写。包括mobile、email。 表5 protect_policy.allow_user 名称 是否必选 参数类型 描述 manage_accesskey 否 boolean 是否允许子用户自行管理AK，取值范围true或false。 manage_email 否 boolean 是否允许子用户自己修改邮箱，取值范围true或false。 manage_mobile 否 boolean 是否允许子用户自己修改电话，取值范围true或false。 manage_password 否 boolean 是否允许子用户自己修改密码，取值范围true或false。

响应示例 状态码为 200 时: 请求成功。 { "endpoint": { "service_id": "3e93d3eb20b34bfbbdcc81a79c1c3045", "region_id": "cn-north-1", "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/endpoints/0046cca357c94165b7a10ec2c01bdf60" }, "id": "0046cca357c94165b7a10ec2c01bdf60", "interface": "public", "region": "cn-north-1", "url": "https://ims.sample.domain.com", "enabled": true } }

响应参数 表3 响应Body参数 参数 参数类型 描述 endpoint Object 终端节点信息。 表4 endpoint 参数 参数类型 描述 service_id String 终端节点所属服务的ID。 region_id String 终端节点所属区域的ID。 links Object 终端节点的资源链接信息。 id String 终端节点ID。 interface String 终端节点平面。 region String 终端节点所属区域。 url String 终端节点的地址。 enabled Boolean 终端节点是否可用。 表5 endpoint.links 参数 参数类型 描述 self String 资源链接地址。 next String 后一邻接资源链接地址，不存在时为null。 previous String 前一邻接资源链接地址，不存在时为null。

响应参数 表3 响应Body参数 参数 参数类型 描述 endpoints Array of objects 资源链接地址。 links Object 终端节点信息列表。 表4 endpoints 参数 参数类型 描述 service_id String 终端节点所属服务的ID。 region_id String 终端节点所属区域的ID。 links Object 终端节点的资源链接信息。 id String 终端节点ID。 interface String 终端节点平面。 region String 终端节点所属区域。 url String 终端节点的地址。 enabled Boolean 终端节点是否可用。 表5 endpoints.links 参数 参数类型 描述 self String 资源链接地址。 next String 后一邻接资源链接地址，不存在时为null。 previous String 前一邻接资源链接地址，不存在时为null。 表6 links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址，不存在时为null。 next String 后一邻接资源链接地址，不存在时为null。

响应示例 状态码为 200 时: 请求成功。 { "endpoints": [ { "service_id": "3e93d3eb20b34bfbbdcc81a79c1c3045", "region_id": "cn-north-1", "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/endpoints/0046cca357c94165b7a10ec2c01bdf60" }, "id": "0046cca357c94165b7a10ec2c01bdf60", "interface": "public", "region": "cn-north-1", "url": "https://ims.sample.domain.com", "enabled": true }, { "service_id": "5186586acd38461d84b3dbf9f02e33ae", "region_id": "cn-north-1", "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/endpoints/00d546d4823e452491407284ab26612c" }, "id": "00d546d4823e452491407284ab26612c", "interface": "public", "region": "cn-north-1", "url": "https://ges.sample.domain.com/v1.0/$(tenant_id)s", "enabled": true } ], "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/endpoints" } }

响应参数 表3 响应Body参数 参数 参数类型 描述 service Object 服务信息。 表4 service 参数 参数类型 描述 name String 服务名。 description String 服务描述信息，未注册服务描述信息时，不返回此字段。 links Object 服务的资源链接。 id String 服务ID。 type String 服务类型。 enabled Boolean 服务是否可用。 表5 service.links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址，不存在时为null。 next String 后一邻接资源链接地址，不存在时为null。

响应示例 状态码为 200 时: 请求成功。 { "service": { "name": "iam", "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/services/6cf6e23e00dd49beb13313b024aec598" }, "id": "6cf6e23e00dd49beb13313b024aec598", "type": "identity", "enabled": true } }

响应示例 状态码为 200 时: 请求成功。 { "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/services" }, "services": [ { "name": "keystone", "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/services/1842ae22353d45a39a1eb89c22f0fe50" }, "id": "1842ae22353d45a39a1eb89c22f0fe50", "type": "identity", "enabled": true }, { "name": "iam", "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/services/6cf6e23e00dd49beb13313b024aec598" }, "id": "6cf6e23e00dd49beb13313b024aec598", "type": "identity", "enabled": true } ] }

响应参数 表3 响应Body参数 参数 参数类型 描述 links Object 服务的资源链接信息。 services Array of objects 服务信息列表。 表4 links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址，不存在时为null。 next String 后一邻接资源链接地址，不存在时为null。 表5 services 参数 参数类型 描述 name String 服务名。 description String 服务描述信息，未注册服务描述信息时，不返回此字段。 links Object 服务的资源链接。 id String 服务ID。 type String 服务类型。 enabled Boolean 服务是否可用。 表6 services.links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址，不存在时为null。 next String 后一邻接资源链接地址，不存在时为null。

响应示例 状态码为 200 时: 请求成功。 { "version": { "media-types": [ { "type": "application/vnd.openstack.identity-v3+json", "base": "application/json" } ], "links": [ { "rel": "self", "href": "https://iam.myhuaweicloud.com/v3/" } ], "id": "v3.6", "updated": "2016-04-04T00:00:00Z", "status": "stable" } }

响应参数 表1 响应Body参数 参数 参数类型 描述 version Object Keystone API的3.0版本信息。 表2 version 参数 参数类型 描述 status String 版本状态。 updated String 最后更新时间。 links Array of objects 版本的资源链接信息。 id String 版本号，如v3.6。 media-types Array of objects 支持的消息格式。 表3 version.links 参数 参数类型 描述 rel String 链接类型。self：自助链接包含了版本链接的资源。bookmark：书签链接提供了一个永久资源的永久链接。alternate：备用链接包含了资源的替换表示形式。 href String 资源链接地址。 表4 version.media-types 参数 参数类型 描述 type String 媒体类型。 base String 基础类型。

响应示例 状态码为 300 时: 查询成功。（Multiple Choices） { "versions": { "values": [ { "media-types": [ { "type": "application/vnd.openstack.identity-v3+json", "base": "application/json" } ], "links": [ { "rel": "self", "href": "https://iam.myhuaweicloud.com/v3/" } ], "id": "v3.6", "updated": "2016-04-04T00:00:00Z", "status": "stable" } ] } }

响应参数 表1 响应Body参数 参数 参数类型 描述 versions Object Keystone API的版本信息。 表2 versions 参数 参数类型 描述 values Array of objects Keystone API的版本信息列表。 表3 versions.values 参数 参数类型 描述 status String 版本状态。 updated String 最后更新时间。 links Array of objects 版本的资源链接信息 id String 版本号，如v3.6。 media-types Array of objects 支持的消息格式。 表4 versions.values.links 参数 参数类型 描述 rel String 链接类型。self：自助链接包含了版本链接的资源。bookmark：书签链接提供了一个永久资源的永久链接。alternate：备用链接包含了资源的替换表示形式。 href String 资源链接地址。 表5 versions.values.media-types 参数 参数类型 描述 type String 媒体类型。 base String 基础类型。

响应示例 状态码为 201 时: 创建成功。 示例1：通过token获取临时访问密钥和securitytoken。 示例2：通过委托获取临时访问密钥和securitytoken且请求体中填写session_user.name参数。 示例 1 响应Header参数： X-Subject-LoginToken:MIIatAYJKoZIhvcNAQcCoIIapTCCGqECAQExDTALB... 响应Body参数： { "logintoken": { "domain_id": "05262121fb00d5c30fbec013bc1...", "expires_at": "2020-01-20T08:18:36.447000Z", "method": "token", "user_id": "0526213b8a80d38a1f31c013ed...", "user_name": "IAMUser", "session_user_id": "093f75808b8089ba1f6dc000c7cac...", "session_id": "40b328b6683a41b9bf8e7185e..." } } 示例 2 响应Header参数： X-Subject-LoginToken:MIIatAYJKoZIhvcNAQcCoIIapTCCGqECAQExDTALB... 响应Body参数： { "logintoken": { "domain_id": "05262121fb00d5c30fbec01...", "expires_at": "2020-01-23T03:27:26.728000Z", "method": "federation_proxy", "user_id": "07826f367b80d2474ff9c013a...", "user_name": "IAMDomainA/IAMAgency", "session_id": "0012c8e6adda4ce787e90585d...", "session_user_id": "093f75808b8089ba1f6dc000c7cac...", "session_name": "SessionUserName", "assumed_by": { "user": { "domain": { "name": "IAMDomainB", "id": "0659ef9c9c80d4560f14c009ac..." }, "name": "IAMUserB", "password_expires_at": "2020-02-16T02:44:57.000000Z", "id": "0659ef9d4d00d3b81f26c009fe..." } } } }

请求示例 获取自定义身份代理登录票据。 POST https://iam.myhuaweicloud.com/v3.0/OS-AUTH/securitytoken/logintokens { "auth": { "securitytoken": { "access": "LUJHNN4WB569PGAP...", "secret": "7qtrm2cku0XubixiVkBOcvMfpnu7H2mLN...", "id": "gQpjbi1ub3J0a...", "duration_seconds":"600" } } }

响应参数 表5 响应Header参数 参数 参数类型 描述 X-Subject-LoginToken String 签名后的logintoken。 表6 响应Body参数 参数 参数类型 描述 logintoken Object 自定义身份代理登录票据信息。 表7 logintoken 参数 参数类型 描述 domain_id String 账号ID。 expires_at String logintoken的过期时间。 method String 认证方法。当认证用户为华为云用户时，该字段内容为“token”，当认证用户为自定义身份代理用户时，该字段内容为“federation_proxy”。 user_id String 用户ID。 user_name String 用户名。 session_id String 会话ID。 session_user_id String 自定义身份代理用户ID。 说明： 通过委托获取临时访问密钥和securitytoken且请求体中填写session_user.name参数时，会返回该字段。该字段的值即为session_user.name所填写的值。 session_name String 自定义身份代理用户名。 说明： 通过委托获取临时访问密钥和securitytoken且请求体中填写session_user.name参数时，会返回该字段。该字段的值即为session_user.name所填写的值。 assumed_by Object 被委托方用户信息。 说明： 通过委托获取临时访问密钥和securitytoken且请求体中填写session_user.name参数时，会返回该字段。 表8 logintoken.assumed_by 参数 参数类型 描述 user Object 被委托方用户信息。 表9 logintoken.assumed_by.user 参数 参数类型 描述 domain Object 被委托方用户所属账号信息。 name String 被委托方用户名。 password_expires_at String 被委托方用户的密码过期时间。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssssZ，日期和时间戳格式参照ISO-8601，如：2023-06-28T08:56:33.710000Z。 id String 被委托方用户ID。 表10 logintoken.assumed_by.user.domain 参数 参数类型 描述 name String 被委托方用户所属账号名称。 id String 被委托方用户所属账号ID。

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 表2 请求Body参数 参数 是否必选 参数类型 描述 auth 是 Object 认证信息。 表3 auth 参数 是否必选 参数类型 描述 securitytoken 是 Object 认证参数。 表4 auth.securitytoken 参数 是否必选 参数类型 描述 access 是 String AK。 secret 是 String SK。 id 是 String 即临时安全凭证securitytoken。 支持使用自定义身份代理用户或普通用户获取的securitytoken换取logintoken，详情请参见：通过token获取临时访问密钥和securitytoken。 支持委托的方式，但获取securitytoken时，请求体中必须填写session_user.name参数，详情请参见：通过委托获取临时访问密钥和securitytoken。 duration_seconds 否 Integer 自定义身份代理登录票据logintoken的有效时间，时间单位为秒。默认10分钟，即600秒，取值范围10分钟~12小时。 说明： 如果传入的值不在取值范围（10分钟~12小时）内，则取默认值10分钟。 logintoken有效时间为临时安全凭证securitytoken剩余有效时间与duration_seconds传参的最小值。 为避免duration_seconds传参无效，建议设置临时安全凭证securitytoken具有较长的有效期（15分钟~24小时），且duration_seconds传参小于临时安全凭证securitytoken剩余有效时间。 当临时安全凭证securitytoken剩余有效时间小于10分钟时，logintoken的有效时间将取默认值10分钟。

功能介绍 该接口用于获取自定义身份代理登录票据logintoken。logintoken是系统颁发给自定义身份代理用户的登录票据，承载用户的身份、session等信息。调用自定义身份代理URL登录云服务控制台时，可以使用本接口获取的logintoken进行认证。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见：地区和终端节点。 自定义身份代理登录票据logintoken默认有效期为10分钟，可设置范围为10分钟~12小时。

响应参数 表2 响应Body参数 参数 参数类型 描述 links Object 资源链接信息。 projects Array of objects 项目信息列表。 表3 links 参数 参数类型 描述 self String 资源链接地址。 表4 projects 参数 参数类型 描述 is_domain Boolean false. description String 项目描述信息。 links Object 项目的资源链接。 enabled Boolean 项目是否可用。 id String 项目ID。 parent_id String 如果查询自己创建的项目，则此处返回所属区域的项目ID。 如果查询的是系统内置项目，如cn-north-1，则此处返回账号ID。 domain_id String 项目所属账号ID。 name String 项目名称。 表5 projects.links 参数 参数类型 描述 self String 资源链接地址。

响应示例 状态码为 200 时: 请求成功。 { "projects": [ { "domain_id": "d78cbac186b744899480f25...", "is_domain": false, "parent_id": "d78cbac186b744899480f2...", "name": "af-south-1", "description": "", "links": { "self": "https://iam.myhuaweicloud.com/v3/projects/06f1cbbaf280106b2f14c00313a9d065" }, "id": "06f1cbbaf280106b2f14c00313a9...", "enabled": true }, { "domain_id": "d78cbac186b744899480f25bd02...", "is_domain": false, "parent_id": "d78cbac186b744899480f25bd0...", "name": "cn-north-1", "description": "", "links": { "self": "https://iam.myhuaweicloud.com/v3/projects/065a7c66da0010992ff7c0031e..." }, "id": "065a7c66da0010992ff7c0031e5...", "enabled": true } ], "links": { "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/projects" } }

响应示例 状态码为 200 时: 请求成功。 { "domains": [ { "description": "", "enabled": true, "id": "d78cbac186b744899480f25bd022f468", "links": { "self": "https://iam.myhuaweicloud.com/v3/domains/d78cbac186b744899480f25bd022f468" }, "name": "IAMDomain" } ], "links": { "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/domains" } }

响应参数 表2 响应Body参数 参数 参数类型 描述 domains Array of objects 账号信息列表。 links Object 资源链接信息。 表3 domains 参数 参数类型 描述 enabled Boolean 是否启用账号，true为启用，false为停用，默认为true。 id String 账号ID。 name String 账号名。 links Object 账号的资源链接信息。 description String 账号的描述信息。 表4 domains.links 参数 参数类型 描述 self String 资源链接地址。 表5 links 参数 参数类型 描述 self String 资源链接地址。

响应示例 状态码为 201 时: 创建成功。 { "token" : { "expires_at" : "2018-03-13T03:00:01.168000Z", "methods" : [ "mapped" ], "issued_at" : "2018-03-12T03:00:01.168000Z", "user" : { "OS-FEDERATION" : { "identity_provider" : { "id" : "idptest" }, "protocol" : { "id" : "oidc" }, "groups" : [ { "name" : "admin", "id" : "45a8c8f..." } ] }, "domain" : { "id" : "063bb260a480...", "name" : "IAMDomain" }, "name" : "FederationUser", "id" : "suvmgvUZc4PaCOEc..." } } } 状态码为 400 时: 参数无效。 { "error" : { "code" : 400, "message" : "Request parameter 'idp id' is invalid.", "title" : "Bad Request" } } 状态码为 401 时: 认证失败。 { "error" : { "code" : 401, "message" : "The request you have made requires authentication.", "title" : "Unauthorized" } } 状态码为 403 时: 没有操作权限。 { "error" : { "code" : 403, "message" : "You are not authorized to perform the requested action.", "title" : "Forbidden" } } 状态码为 404 时: 未找到相应资源。 { "error" : { "code" : 404, "message" : "Could not find %(target)s: %(target_id)s.", "title" : "Not Found" } } 状态码为 500 时: 系统内部异常。 { "error" : { "code" : 500, "message" : "An unexpected error prevented the server from fulfilling your request.", "title" : "Internal Server Error" } }

功能介绍 该接口可以用于通过OpenID Connect ID token方式获取联邦认证unscoped token。Unscoped token不能用来鉴权，您需要使用unscoped token通过接口获取联邦用户的临时访问密钥和securitytoken获取临时访问密钥和securitytoken，后续使用获取到的临时访问密钥和securitytoken作为凭证访问云服务。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见：地区和终端节点。

响应参数 状态码为 201 时: 表3 响应Header参数 参数 参数类型 描述 X-Subject-Token String 签名后的Token。 表4 响应Body参数 参数 参数类型 描述 token object 获取的token详情。 表5 token 参数 参数类型 描述 expires_at String 过期时间。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssssZ，日期和时间戳格式参照ISO-8601，如：2023-06-28T08:56:33.710000Z。 methods Array of strings token获取方式，联邦认证默认为mapped。 issued_at String 生成时间。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssssZ，日期和时间戳格式参照ISO-8601，如：2023-06-28T08:56:33.710000Z。 user object 用户详情。 roles Array of objects 角色/策略详情。 catalog Array of objects catalog详情。 表6 token.user 参数 参数类型 描述 OS-FEDERATION object 联邦用户user详情。 domain object 租户详情。 id String 用户id。 name String 用户名。 表7 token.user.OS-FEDERATION 参数 参数类型 描述 identity_provider object 身份提供商详情。 protocol object 协议详情。 groups Array of objects 用户组详情。 表8 token.user.OS-FEDERATION.identity_provider 参数 参数类型 描述 id String 身份提供商id。 表9 token.user.OS-FEDERATION.identity_provider 参数 参数类型 描述 id String 协议id。 表10 token.user.OS-FEDERATION.groups 参数 参数类型 描述 id String 用户组id。 name String 用户组名。 表11 token.domain 参数 参数类型 描述 id String 租户id。 name String 租户名。 表12 token.roles 参数 参数类型 描述 id String 权限id。 name String 权限名。 表13 token.catalog 参数 参数类型 描述 endpoints Array of objects 终端节点。 id String 服务ID。 name String 服务名称。 type String 该接口所属服务。 表14 token.catalog.endpoints 参数 参数类型 描述 id String 终端节点ID。 interface String 接口类型，描述接口在该终端节点的可见性。值为“public”，表示该接口为公开接口。 region String 终端节点所属区域。 region_id String 终端节点所属区域ID。 url String 终端节点的URL。

响应示例 状态码为 201 时: 创建成功。 { "token" : { "expires_at" : "2018-03-13T03:00:01.168000Z", "methods" : [ "mapped" ], "issued_at" : "2018-03-12T03:00:01.168000Z", "user" : { "OS-FEDERATION" : { "identity_provider" : { "id" : "idptest" }, "protocol" : { "id" : "oidc" }, "groups" : [ { "name" : "admin", "id" : "45a8c8f..." } ] }, "domain" : { "id" : "063bb260a480...", "name" : "IAMDomain" }, "name" : "FederationUser", "id" : "suvmgvUZc4PaCOEc..." } } } 状态码为 400 时: 参数无效。 { "error_msg" : "Request body is invalid.", "error_code" : "IAM.0011" } 状态码为 401 时: 认证失败。 { "error_msg" : "The request you have made requires authentication.", "error_code" : "IAM.0001" } 状态码为 403 时: 没有操作权限。 { "error_msg" : "Policy doesn't allow %(actions)s to be performed.", "error_code" : "IAM.0003" } 状态码为 404 时: 未找到相应的资源。 { "error_msg" : "Could not find %(target)s: %(target_id)s.", "error_code" : "IAM.0004" } 状态码为 500 时: 系统内部异常。 { "error_msg" : "An unexpected error prevented the server from fulfilling your request.", "error_code" : "IAM.0006" }

请求示例 获取联邦认证project scoped token POST /v3.0/OS-AUTH/id-token/tokens { "auth" : { "id_token" : { "id" : "eyJhbGciOiJSU..." }, "scope" : { "project" : { "id" : "46419baef4324...", "name" : "cn-north-1" } } } } 获取联邦认证domain scoped token POST /v3.0/OS-AUTH/id-token/tokens { "auth" : { "id_token" : { "id" : "eyJhbGciOiJSU..." }, "scope" : { "domain" : { "id" : "063bb260a480...", "name" : "IAMDomain" } } } } 获取unscoped token POST /v3.0/OS-AUTH/id-token/tokens { "auth" : { "id_token" : { "id" : "eyJhbGciOiJSU..." } } }

响应参数 状态码为 201 时: 表7 响应Header参数 参数 参数类型 描述 X-Subject-Token String 签名后的Token。 表8 响应Body参数 参数 参数类型 描述 token object 获取的token详情。 表9 token 参数 参数类型 描述 expires_at String 过期时间。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssssZ，日期和时间戳格式参照ISO-8601，如：2023-06-28T08:56:33.710000Z。 methods Array of strings 获取token的方式，联邦用户默认为mapped。 issued_at String 生成时间。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssssZ，日期和时间戳格式参照ISO-8601，如：2023-06-28T08:56:33.710000Z。 user object 用户详情。 domain object 租户详情。 project object 项目详情，仅请求scope为project时，返回此对象。 roles Array of objects 角色/策略详情。 catalog Array of objects catalog详情。 表10 token.user 参数 参数类型 描述 OS-FEDERATION object 联邦用户user详情。 domain object 租户详情。 id String 用户id。 name String 用户名。 表11 token.user.OS-FEDERATION 参数 参数类型 描述 identity_provider object 身份提供商详情。 protocol object 协议详情。 groups Array of objects 用户组详情。 表12 token.user.OS-FEDERATION.identity_provider 参数 参数类型 描述 id String 身份提供商id。 表13 token.user.OS-FEDERATION.protocol 参数 参数类型 描述 id String 协议id。 表14 token.user.OS-FEDERATION.groups 参数 参数类型 描述 id String 用户组id。 name String 用户组名。 表15 token.user.domain 参数 参数类型 描述 id String 租户id。 name String 租户名。 表16 token.domain 参数 参数类型 描述 id String 租户id。 name String 租户名。 表17 token.project 参数 参数类型 描述 domain object 租户详情。 id String 项目id。 name String 项目名。 表18 token.project.domain 参数 参数类型 描述 id String 租户id。 name String 租户名。 表19 roles 参数 参数类型 描述 id String 权限id。 name String 权限名。 表20 token.catalog 参数 参数类型 描述 endpoints Array of objects 终端节点。 id String 服务ID。 name String 服务名称。 type String 该接口所属服务。 表21 token.catalog.endpoints 参数 参数类型 描述 id String 终端节点ID。 interface String 接口类型，描述接口在该终端节点的可见性。值为“public”，表示该接口为公开接口。 region String 终端节点所属区域。 region_id String 终端节点所属区域ID。 url String 终端节点的URL。 表22 CatalogInfo 参数 参数类型 描述 id String 终端节点ID。 interface String 接口类型，描述接口在该终端节点的可见性。值为“public”，表示该接口为公开接口。 region String 终端节点所属区域。 region_id String 终端节点所属区域ID。 url String 终端节点的URL。

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Idp-Id 是 String 身份提供商ID。 表2 请求Body参数 参数 是否必选 参数类型 描述 auth 是 object 请求auth参数详情。 表3 GetIdTokenAuthParams 参数 是否必选 参数类型 描述 id_token 是 object 请求id token参数详情。 scope 否 object 请求scope参数详情，限制获取token的权限范围。不传此字段，获取unscoped toke。 表4 GetIdTokenIdTokenBody 参数 是否必选 参数类型 描述 id 是 String id_token的值。id_token由企业IdP构建，携带联邦用户身份信息。请参考企业IdP文档了解获取id_token的方法。 表5 GetIdTokenIdScopeBody 参数 是否必选 参数类型 描述 domain 否 object domain scope详情，与project二选一。 project 否 object project scope详情，与domain二选一。 表6 GetIdTokenScopeDomainOrProjectBody 参数 是否必选 参数类型 描述 id 否 String domain id或者project id，与name字段至少存在一个。 name 否 String domain name或者project name，与id字段至少存在一个。

功能介绍 该接口可以用于通过OpenID Connect ID token方式获取联邦认证token。 推荐您只通过该接口获取unscoped token，再使用unscoped token通过接口获取联邦用户的临时访问密钥和securitytoken获取临时访问密钥和securitytoken，后续使用获取到的临时访问密钥和securitytoken作为凭证访问云服务。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见：地区和终端节点。