列出用户组 功能介绍 查询指定身份源下的IAM身份中心用户组列表。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI GET /v1/identity-stores/{identity_store_id}/groups 表1 路径参数 参数 是否必选 参数类型
创建用户组 功能介绍 在指定的身份源中创建一个IAM身份中心用户组。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI POST /v1/identity-stores/{identity_store_id}/groups 表1 路径参数 参数 是否必选 参数类型
列出账号和权限集关联的用户或用户组 功能介绍 列出与指定账号以及指定权限集关联的用户或用户组。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI GET /v1/instances/{instance_id}/account-assignments 表1 路径参数
查询用户ID 功能介绍 根据用户名或外部身份源ID,以精确匹配的方式查询用户ID。用户名和外部身份源ID两种查询方式二选一,不支持同时传入。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI POST /v1/identity-stores/{identity_store_id
列出用户 功能介绍 查询指定身份源下的IAM身份中心用户列表。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI GET /v1/identity-stores/{identity_store_id}/users 表1 路径参数 参数 是否必选 参数类型 描述
创建用户 功能介绍 在指定的身份源中创建一个IAM身份中心用户。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI POST /v1/identity-stores/{identity_store_id}/users 表1 路径参数 参数 是否必选 参数类型 描述
列出权限集 功能介绍 查询指定实例下的权限集列表。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI GET /v1/instances/{instance_id}/permission-sets 表1 路径参数 参数 是否必选 参数类型 描述 instance_id
重置IAM身份中心 如果您不再需要使用IAM身份中心,或需要从头开始创建新配置,或需要在其他区域启用IAM身份中心,您可以删除IAM身份中心配置的所有数据。 由于IAM身份中心为项目级服务,您在当前区域启用IAM身份中心后,如需在其他区域使用,则需要删除当前区域的IAM身份中心数据
绑定用户和组 功能介绍 将用户添加到用户组中,用户和用户组必须在同一身份源下。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI POST /v1/identity-stores/{identity_store_id}/group-memberships 表1
设置委托管理员 IAM身份中心默认由组织管理员账号使用和管理,组织中的成员账号如需使用IAM身份中心,需组织管理员将其设置为委托管理员。 此操作会将IAM身份中心的管理访问权限委托给此成员账号中的用户。对此委托管理员账号拥有足够权限的所有用户可以从该账号执行所有IAM身份中心管理任务
创建令牌 功能介绍 获取访问令牌。 URI POST /v1/tokens 请求参数 表1 请求Body参数 参数 是否必选 参数类型 描述 client_id 是 String 客户端的唯一标识。 client_secret 是 String 为客户端生成的秘密字符串。客户端将使用此字符串在后续调用中获得服务的身份验证
轮换证书 IAM身份中心使用证书在IAM身份中心和外部身份提供商之间建立SAML信任关系。在切换身份源为外部身份提供商时,必须从外部身份提供商获得至少一个SAML 2.0证书。SP证书通常在需要已签名请求时手动生成证书,而IdP证书通常包含在SAML元数据文件中,在切换身份源上传IdP
认证鉴权 调用接口支持使用AK/SK认证,通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。 AK/SK认证 AK/SK签名认证方式仅支持消息体大小12M以内。 AK/SK认证就是使用AK/SK对请求进行签名,在请求时将签名信息添加到消息头
外部身份提供商概述 SAML 2.0 安全断言标记语言(Security Assertion Markup Language 2.0,缩写为SAML 2.0)是一个由一组协议组成,用来传输安全声明的XML框架。SAML2.0是由标准化组织OASIS提出的用于安全操作的标准,是很多身份提供商
账号关联用户/组和权限集 当您创建用户/组和权限集完成后,您需要将组织下的一个或多个成员账号关联用户/组和权限集,这样使用用户登录后才能访问关联账号下的资源,这些资源通过关联的权限集授予具体访问权限。 当前仅支持为组织下的一个或多个成员账号关联用户/组和权限集,不支持直接选择整个组织或组织单元
自定义访问门户URL 功能介绍 自定义访问门户URL,默认情况下,您可以使用遵循以下格式的 URL访问门户:idcenter.huaweicloud.com/d-xxxxxxxxxx/portal,您可以按如下方式更改为自定义 URL:idcenter.huaweicloud.com
为ABAC创建权限策略 概述 在您已为资源添加标签,并在IAM身份中心启用并配置访问控制属性后,您还需要在权限集的自定义身份策略中添加基于属性的访问控制规则。您可以通过PrincipalTag条件键在权限集中使用访问控制属性来创建访问控制规则,即在策略语句的Condition元素中写入
添加应用程序 操作场景 如果您使用的应用程序支持SAML 2.0协议,则可以通过SAML 2.0将您的应用程序和IAM身份中心关联起来,并使用IAM身份中心管理用户对应用程序的访问权限。您可以自行在IAM身份中心中添加需要进行身份联合认证的应用程序,并设置额外的SAML属性映射。这些映射将使
