用户指南

Size: px

Start display at page:

Download "用户指南"

畔温
5 years ago
Views:

1 统一身份认证服务用户指南文档版本 14 发布日期华为技术有限公司

2 版权所有华为技术有限公司 2018 保留一切权利非经本公司书面许可, 任何单位和个人不得擅自摘抄复制本文档内容的部分或全部, 并不得以任何形式传播商标声明和其他华为商标均为华为技术有限公司的商标本文档提及的其他所有商标或注册商标, 由各自的所有人拥有注意您购买的产品服务或特性等应受华为公司商业合同和条款的约束, 本文档中描述的全部或部分产品服务或特性可能不在您的购买或使用范围之内除非合同另有约定, 华为公司对本文档内容不做任何明示或默示的声明或保证由于产品版本升级或其他原因, 本文档内容会不定期进行更新除非另有约定, 本文档仅作为使用指导, 本文档中的所有陈述信息和建议不构成任何明示或暗示的担保文档版本 14 ( ) 版权所有华为技术有限公司 i

3 目录目录 1 审计云审计服务支持的 IAM 操作列表查看审计日志管理用户和用户组管理用户及其权限管理项目创建用户组创建用户切换项目或区域查看或修改用户信息查看或修改用户组修改用户权限管理细粒度策略细粒度策略策略语言创建自定义策略设置账号安全策略管理委托委托其他账号管理资源如何创建委托切换角色联邦身份认证为什么要配置联邦身份认证配置联邦身份认证建立信任关系创建身份提供商配置页面单点登录通过规则控制联邦用户访问权限联邦用户身份转换规则单点登录流程管理安全凭证文档版本 14 ( ) 版权所有华为技术有限公司 ii

5 1 审计 1 审计 1.1 云审计服务支持的 IAM 操作列表云审计服务记录统一身份认证服务相关的操作事件, 如表 1-1 所示表 1-1 云审计服务支持的 IAM 操作列表操作名称资源类型事件名称用户登录 user login 用户登出 user logout 修改用户密码 user changepassword 创建用户 user createuser 修改用户信息 user updateuser 删除用户 user deleteuser 修改用户密码 user updateuserpwd 创建 AK/SK user addcredential 删除 AK/SK user deletecredential 修改邮箱 user modifyuser 修改手机 user modifyusermobile 修改密码 user modifyuserpassword 登录开启双因子认证 user modifysmverify 上传头像 user modifyuserpicture 管理员设置用户密码 user setpasswordbyadmin 创建用户组 usergroup creategroup 文档版本 14 ( ) 版权所有华为技术有限公司 1

6 1 审计操作名称资源类型事件名称更新用户组 usergroup updategroup 删除用户组 usergroup deletegroup 创建项目 project createproject 修改项目 project updateproject 取消删除项目 project cancelprojectdeletion 创建委托 agency createagency 修改委托 agency updateagency 删除委托 agency deleteagency 切换角色 user switchrole 注册身份提供商 identityprovider createidentityprovider 更新身份提供商 identityprovider updateidentityprovider 删除身份提供商 identityprovider deleteidentityprovider 更新 IdP 元数据 identityprovider updatemetaconfigure 更新系统预置的 IdP 元数据 identityprovider updatesystemmetaconfigur e 更新账号登录策略 domain updatesecuritypolicies 更新密码策略 domain updatepasswordpolicies 更新访问控制列表 domain updateaclpolicies 1.2 查看审计日志查看 IAM 的云审计日志开启了云审计服务后, 系统开始记录统一身份认证服务相关的操作云审计服务管理控制台保存最近 7 天的操作记录步骤 1 步骤 2 步骤 3 步骤 4 登录管理控制台单击页面上方的服务列表, 选择管理与部署 > 云审计服务, 进入云审计服务信息页面单击左侧导航树的事件列表, 进入事件列表信息页面单击事件列表右上方的筛选, 设置对应的操作事件条件当前事件列表支持四个维度的组合查询, 详细信息如下 : 事件来源资源类型和筛选类型在下拉框中选择查询条件其中, 事件来源选择 IAM 文档版本 14 ( ) 版权所有华为技术有限公司 2

1 审计筛选类型选择事件名称时, 还需选择某个具体的事件名称选择资源 ID 时, 还需选择或者手动输入某个具体的资源 ID 选择资源名称时, 还需选择或手动输入某个具体的资源名称操作用户 : 在下拉框中选择某一具体的操作用户, 此操作用户指用户级别, 而非租户级别事件级别 : 可选项为所有事件级别 normal warning incident, 只可选择其中一项起始时间结束时间

7 1 审计筛选类型选择事件名称时, 还需选择某个具体的事件名称选择资源 ID 时, 还需选择或者手动输入某个具体的资源 ID 选择资源名称时, 还需选择或手动输入某个具体的资源名称操作用户 : 在下拉框中选择某一具体的操作用户, 此操作用户指用户级别, 而非租户级别事件级别 : 可选项为所有事件级别 normal warning incident, 只可选择其中一项起始时间结束时间 : 可通过选择时间段查询操作事件步骤 5 单击查询, 查看对应的操作事件步骤 6 在需要查看的记录左侧, 单击展开该记录的详细信息, 展开记录如图 1-1 所示图 1-1 展开记录步骤 7 在需要查看的记录右侧, 单击查看事件, 弹出一个窗口, 如图 1-2 所示, 显示了该操作事件结构的详细信息图 1-2 查看事件 ---- 结束文档版本 14 ( ) 版权所有华为技术有限公司 3

8 2 管理用户和用户组 2 管理用户和用户组 2.1 管理用户及其权限您可以通过为用户组授权并将用户加入到用户组的方式, 使用户具有用户组中的权限, 用户可以根据权限访问系统云联盟用户需要在伙伴云创建与归属云同名的用户组, 详情请参考 : 使用伙伴云步骤 1 安全管理员在区域下创建项目, 使得各项目之间相互隔离图 2-1 项目隔离模型步骤 2 安全管理员按照用户职责规划用户组并为用户组授权文档版本 14 ( ) 版权所有华为技术有限公司 4

10 2 管理用户和用户组 2.2 管理项目操作步骤项目用于将 OpenStack 的资源 ( 计算资源存储资源和网络资源 ) 进行分组和隔离您账号中的资源必须挂载在项目下, 项目可以是一个部门或者项目组您可以使用安全管理员访问 IAM, 并在区域下创建项目, 来实现资源的隔离管理步骤 1 在系统首页, 单击控制台步骤 2 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 3 在左侧导航窗格中, 单击项目步骤 4 在项目界面, 单击创建项目步骤 5 在所属区域下拉列表中选择待创建项目所属的区域步骤 6 输入项目名称项目名称的格式为 : 区域名称 _ 项目名称, 区域名称不允许修改项目名称可以由字母数字下划线 (_) 中划线 (-) 组成区域名称 _ 项目名称的总长度不能大于 64 个字符步骤 7 ( 可选 ) 输入描述步骤 8 单击确定返回项目列表, 新创建的项目状态显示为正常 ---- 结束后续处理相关任务给项目授权在修改用户组界面, 用户组权限区域中, 单击需要设置的项目对应的修改, 给对应项目选择需要的云资源权限集详情请参见创建用户组开启云审计服务如果需要通过云审计服务记录在新创建的项目中云服务的操作, 需要在当前项目下重新开启云审计服务查看项目的详细信息 a. 在项目列表单击目标项目所属区域前的, 查看对应区域下面的项目 b. 在操作列单击对应项目的查看查看项目的详细信息以及绑定在该项目上面的用户通过为用户组授予对应项目的权限, 再将用户加入到用户组中, 使用户继承用户组的权限, 并实现用户与项目之间的绑定用户通过切换项目来访问对应的资源文档版本 14 ( ) 版权所有华为技术有限公司 6

11 2 管理用户和用户组 c. 单击用户权限列表权限列的查看修改项目查看绑定在项目上面的用户对应的权限 a. 在项目列表单击待修改项目所属区域前的 b. 在操作列单击对应项目的修改, 在修改项目页面修改项目名称和描述信息项目名称的格式为 : 区域名称 _ 项目名称, 区域名称不允许修改切换项目, 方法请参考切换项目或区域 2.3 创建用户组操作步骤您可以根据用户职责规划用户组, 并赋予用户组对应职责的权限, 使得用户组中的用户拥有对应职责的权限通过用户组来管理用户权限可以使权限管理更有条理步骤 1 在系统首页, 单击控制台步骤 2 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 3 在左侧导航窗格中, 单击用户组步骤 4 在用户组界面中, 单击创建用户组步骤 5 输入用户组名称步骤 6 ( 可选 ) 输入描述建议给用户组添加描述, 比如给用户组授予 Security Administrator 权限, 可以在描述中添加 Security Administrator: 创建删除修改用户并为用户授权或者自定义内容, 方便用户直观的查看自己所具备的权限及权限作用具体权限描述信息请参见 : 权限策略步骤 7 单击确定返回用户组列表, 用户组列表中显示新创建的用户组步骤 8 单击新建用户组右侧的权限配置步骤 9 在用户组权限页签中, 单击需要授权项目右侧的设置策略授予的权限仅对当前项目生效如果需要为用户组授予多个项目的权限, 请分别单击所需要授权的项目右侧的设置策略进行授权步骤 10 给新建用户组选择策略您也可以通过输入关键字快速找到相关策略步骤 11 单击确定 ---- 结束文档版本 14 ( ) 版权所有华为技术有限公司 7

12 2 管理用户和用户组 2.4 创建用户当您需要与新用户共享您账号中的资源时, 您可以使用安全管理员通过 IAM 创建用户创建用户时可以设置安全凭证和权限这些用户可以通过管理控制台或 API CLI SDK 等开发工具访问系统操作步骤步骤 1 在系统首页, 单击控制台步骤 2 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 3 在左侧导航窗格中, 单击用户步骤 4 在用户界面, 单击创建用户步骤 5 在创建用户界面, 输入用户名步骤 6 选择凭证类型凭证类型密码访问密钥适用场景登录管理控制台使用支持密码认证的 API CLI SDK 等开发工具来访问云服务使用支持密钥认证的 API CLI SDK 等开发工具来访问云服务步骤 7 在所属用户组的下拉框中, 选择需要加入的用户组您也可以通过输入关键字快速找到相关用户组一个用户可以同时加入多个用户组根据步骤 6 中选择的凭证类型, 进行后续操作凭证类型后续操作密码请执行步骤 8 访问密钥单击确认下载生成的密钥, 创建用户操作完成访问密钥是在 IAM 中认证的凭证, 如果不下载生成的密钥则无法获取对应的访问密钥如果该用户需要使用访问密钥在 IAM 中认证, 需要重新生成生成方法请参考 : 如何管理访问密钥步骤 8 单击下一步步骤 9 选择密码生成方式文档版本 14 ( ) 版权所有华为技术有限公司 8

13 2 管理用户和用户组密码生成方式后续操作首次登录时设置自动生成系统会通过邮件发送一次性登录链接给用户用户使用该链接登录管理控制台时设置密码由系统随机生成 10 位密码适用于使用支持密码认证的 API CLI SDK 等开发工具来访问云服务 1. 输入邮箱用于接收登录链接 2. ( 可选 ) 输入手机 3. 单击确定 1. ( 可选 ) 输入邮箱 2. ( 可选 ) 输入手机 3. 单击确定 4. 下载密码文件自定义自定义用户的登录密码 1. ( 可选 ) 输入邮箱 2. ( 可选 ) 输入手机 3. 输入密码和确认密码密码必须满足如下策略 : 不能少于 6 个字符且不超过 32 个字符包括大写字母 (A~Z), 小写字母 (a~z), 数字 (0~9) 和特殊字符 ( ~) 至少 2 种的组合不能是用户名或者用户名的倒序 ( 不区分大小写 ), 例如 : 用户名为 A12345, 则密码不能为 A12345 a A 和 54321a 不能包含手机号或邮箱 4. 单击确定用户可以使用此处设置的用户名邮箱或手机号码任意一种方式登录系统当用户忘记密码时, 可以通过此处绑定的邮箱或手机号码来重置密码步骤 10 是否重置密码 : 用户需要创建一个新密码登录系统该功能默认勾选, 为了用户账号安全, 建议保持默认勾选状态, 保证该账号的密码为用户本人所设置, 防止密码泄露步骤 11 单击确定创建用户完成 ---- 结束文档版本 14 ( ) 版权所有华为技术有限公司 9

14 相关任务查看用户信息和修改用户信息 ( 包括用户状态绑定的邮箱手机号码所属用户组用户日志等 ) 删除用户 : 在用户列表中, 单击删除 2 管理用户和用户组 2.5 切换项目或区域操作步骤不同项目或区域中的资源互相隔离, 您仅能访问被授权项目或区域下的资源如果您不具备当前项目或区域下的权限, 请先切换到被授权的项目或区域下步骤 1 在系统首页, 单击控制台步骤 2 单击左上角的, 在下拉框中选择需要访问的项目或区域切换至目标项目或区域即可访问对应的资源 ---- 结束 2.6 查看或修改用户信息操作步骤管理员可以查看用户的基本信息所属用户组以及用户日志当人员职责发生变动时, 管理员可以通过修改用户所属的用户组来修改用户所拥有的权限当用户忘记或遗失密码或访问密钥时, 管理员可以修改用户的登录认证凭证步骤 1 在系统首页, 单击控制台步骤 2 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 3 在左侧导航窗格中, 单击用户步骤 4 在用户列表中, 可查看修改用户的基本信息, 以及设置用户的凭证查看用户基本信息在用户列表中, 单击户日志修改用户基本信息查看用户的详细信息包括基本信息所属用户组以及用在用户列表中, 单击对应用户右侧的修改, 进入修改用户界面修改用户状态 : 用户默认为启用状态, 如果需要停止使用该用户, 可以在基本信息区域设置用户状态为停用修改登录验证方式用户需要绑定了手机 / 邮箱, 才可以开启短信 / 邮箱验证 ; 用户需要绑定 MFA 应用程序后, 才可以开启虚拟 MFA 验证开启该功能后, 登录系统时, 需要在登录验证页面输入虚拟 MFA/ 短信 / 邮箱验证码进行验证修改所属用户组 : 在所属用户组区域的下拉框中选择要加入的用户组, 或者单击目标用户组右侧的删除, 退出选中的用户组文档版本 14 ( ) 版权所有华为技术有限公司 10

15 2 管理用户和用户组设置用户凭证您也可以通过输入关键字快速找到相关用户组在用户列表中, 单击右侧设置凭证, 可修改用户的密码或管理用户的访问密钥凭证类型生成方式适用场景密码通过邮箱设置系统会通过邮件发送一次性登录链接给用户, 用户使用该链接登录管理控制台时设置密码已绑定邮箱的用户重置 API 密码该用户需要使用密码登录管理控制台自动生成由系统随机生成 10 位 API 密码自动生成的密码可以在单击确认后下载使用支持密码认证的 API CLI SDK 等开发工具通来访问系统的用户重置密码自定义自定义用户的 API 密码任何用户访问密钥用户自己创建或通过安全管理员创建在管理访问密钥区域, 可新增或删除访问密钥通过访问密钥认证访问系统的用户每个用户最多可创建 2 个访问密钥, 有效期为 360 天为了账号安全性, 建议您妥善保管访问密钥是否重置密码 : 用户需要创建一个新密码登录系统该功能默认勾选, 为了用户账号安全, 建议保持默认勾选状态, 保证该用户账号的密码为用户本人所设置, 防止密码泄露 ---- 结束 2.7 查看或修改用户组操作步骤安全管理员可以查看和修改用户组的基本信息权限及用户组中包含的用户当用户权限发生变化时可以通过修改用户组的方式快速完成用户权限修改步骤 1 在系统首页, 单击控制台步骤 2 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 3 在左侧导航窗格中, 单击用户组步骤 4 在用户组列表中, 可以进行以下操作 : 文档版本 14 ( ) 版权所有华为技术有限公司 11

16 2 管理用户和用户组查看用户组信息在用户组列表中, 单击查看用户组的详细信息包括基本信息用户组权限以及用户组中包含的用户修改用户组描述在用户组列表中, 单击编辑, 可以修改用户组的描述信息用户管理在用户组列表中, 单击用户管理, 进入用户管理界面给用户组添加用户在可选用户列表中选择需要加入的用户如果没有可选用户, 建议您先创建用户您也可以通过输入关键字快速找到相关用户删除用户组中的用户在已选用户区域删除对应用户权限配置在用户组列表中, 单击权限配置, 修改用户组的权限 a. 单击需要修改权限的项目右侧的设置策略 i. 在可选策略列表中选择需要新增的策略 ii. 在已选策略列表中选择需要删除的策略 b. 单击确定删除用户组在用户组列表中, 单击删除, 可以删除不需要的用户组 ---- 结束 2.8 修改用户权限修改用户权限的方法有以下两种 : 通过修改用户功能, 修改用户所属用户组该方法适用于调整单个用户权限变化方法请参考查看或修改用户信息通过修改用户组功能, 修改用户组权限或修改用户组中包含的用户该方法适用于将多个用户加入到同一用户组中, 或将多个用户从同一用户组中删除方法请参考 : 查看或修改用户组文档版本 14 ( ) 版权所有华为技术有限公司 12

17 3 管理细粒度策略 3 管理细粒度策略 3.1 细粒度策略细粒度策略授权策略是描述一组权限集的语言, 它可以精确地描述被授权的资源集和操作集, 通过策略, 用户可以自由搭配需要授予的权限集, 策略中可以包含多个云服务的多个操作权限, 也可以只包含单个云服务的单个操作权限通过给用户组授予策略, 用户组中的用户就能获得策略中定义的权限,IAM 通过策略定义的权限内容实现精细的权限管理 IAM 支持以下两种形式的策略 : 系统策略 : 系统预置的常用权限集, 主要针对不同云服务的只读权限或管理员权限, 比如对 ECS 的只读权限对 ECS 的管理员权限等 ; 系统策略只能用于授权, 不能编辑和修改自定义策略 : 由用户自己创建和管理的权限集, 是对系统策略的扩展和补充 3.2 策略语言策略结构细粒度授权策略结构包括策略版本号 (Version) 及策略授权语句 (Statement) 列表策略版本号 :Version, 标识策略结构的版本号 1.0: 非细粒度权限 1.1: 细粒度权限策略授权语句 :Statement, 包括了基本元素 : 作用 (Effect) 和权限集 (Action) 文档版本 14 ( ) 版权所有华为技术有限公司 13

18 3 管理细粒度策略图 3-1 策略结构模型策略基本元素策略授权语句 (Statement) 描述的是策略的详细信息, 包含作用 (Effect) 和授权项 (Action) 作用 (Effect) 作用包含两种 : 允许 (Allow) 和拒绝 (Deny), 当策略中既有 Allow 又有 Deny 的授权语句时, 遵循 Deny 优先的原则授权项 (Action) 对资源的具体操作权限, 支持单个或多个操作权限格式为 : 服务名 : 资源类型 : 操作, 例如 :vpc:ports:create 服务名 : 产品名称, 例如 ecs evs 和 vpc 等, 服务名仅支持小写资源类型和操作没有大小写要求, 支持通配符号 *, 用户不需要罗列全部授权项, 通过配置通配符号 * 可以方便快捷地实现授权策略样例支持单个操作权限, 例如 : 查询弹性云服务器详情权限 "Version": "1.1", "Statement": [ "Effect": "Allow", "Action": [ "ecs:servers:list", "ecs:servers:get", "ecs:servervolumes:use", "ecs:diskconfigs:use", "ecs:securitygroups:use", "ecs:serverkeypairs:get", "vpc:securitygroups:list", "vpc:securitygroups:get", "vpc:securitygrouprules:get", 文档版本 14 ( ) 版权所有华为技术有限公司 14

19 3 管理细粒度策略 "vpc:networks:get", "vpc:subnets:get", "vpc:ports:get", "vpc:routers:get" 支持多个操作权限, 例如 : 锁定云服务器和创建云硬盘权限 "Version": "1.1", "Statement": [ "Effect": "Allow", "Action": [ "ecs:servers:lock", "evs:volumes:create" 通配符号 * 用法示例 : 对 ECS 服务资源的 Tenant Guest 权限 ECS 服务的 Tenant Guest 权限需要依赖 EVS VPC IMS 服务的 Tenant Guest 权限 "Version": "1.1", "Statement": [ "Effect": "Allow", "Action": [ "ecs:*:get", "ecs:*:list", "ecs:servergroups:manage", "evs:*:get", "evs:*:list", "vpc:*:get", "vpc:*:list", "ims:*:get", "ims:*:list" 策略语法策略结构体不完整时, 将不能通过系统的语法校验 Policy = <version_block>, <statement_block> <version_block> = "Version" : "1.1" <statement_block> = "Statement": [<statement>,<statement>, <statement> = <effect_block>, <action_block> <effect_block> = "Effect" : ("Allow" "Deny") <action_block> = "Action": ("*" [<action_string>, <action_string>, ) 文档版本 14 ( ) 版权所有华为技术有限公司 15

3 管理细粒度策略策略中 [ 字符为允许多值的意思, 当一个元素允许多值时, 使用逗号和省略号来表达, 比如 [<statement>,<statement>,,[<action_string>, <action_string>, 多值之间如果用竖线 ( ) 隔开, 表示取值只能选取这些值中的一个比如 : ("Allow" "Deny") 当元素取值为数字时, 与字符串类似,

20 3 管理细粒度策略策略中 [ 字符为允许多值的意思, 当一个元素允许多值时, 使用逗号和省略号来表达, 比如 [<statement>,<statement>,,[<action_string>, <action_string>, 多值之间如果用竖线 ( ) 隔开, 表示取值只能选取这些值中的一个比如 : ("Allow" "Deny") 当元素取值为数字时, 与字符串类似, 需要用双引号括起来比如 : <version_block> = "Version" : "1.1" 当元素取值为字符串 (String) 时, 支持 (*) 模糊匹配来代表 0 个或多个任意的英文字母您还可以通过以下网站了解更多有关 JSON 的语法标准 : 检查规则用户被授予的访问策略中可以包含多个授权语句, 当策略中既有 Allow 又有 Deny 的授权语句时, 遵循 Deny 优先的原则用户访问资源时, 权限检查逻辑如下 : 图 3-2 权限检查逻辑图每条策略做评估时, Action 之间是或 (or) 的关系 1. 用户发起操作请求, 鉴权开始 2. 在用户被授予的访问策略中, 系统将优先寻找显式拒绝指令如找到一个适用的显式拒绝, 系统将返回 Deny 决定, 鉴权结束 3. 如果没有找到显式拒绝指令, 系统将寻找适用于请求的任何 Allow 指令文档版本 14 ( ) 版权所有华为技术有限公司 16

21 3 管理细粒度策略如找到一个显式允许指令, 系统将返回 Allow 决定, 由服务继续处理该请求如果找不到显式允许, 最终决定为 Deny 4. 如果代码在评估过程中的任意点遇到错误, 它将生成异常并关闭 3.3 创建自定义策略系统预置的权限不能满足要求时, 您可以创建自定义策略, 并通过给用户组授予自定义策略来进行精细的访问控制操作步骤步骤 1 在系统首页, 单击控制台步骤 2 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 3 在左侧导航窗格中, 单击策略步骤 4 在策略界面, 单击创建自定义策略步骤 5 输入策略名称步骤 6 选择作用范围项目级服务 : 该策略仅对项目生效, 给用户组授权时, 可以在项目中选择该策略, 全局中不显示该策略全局级服务 : 该策略可以针对全局进行授权, 给用户组授权时, 可以在全局中选择该策略, 项目中不显示该策略全局和项目都是区域, 各云服务部署在不同的区域, 例如 IAM 部署在全局区域,EVS 部署在其他各区域全局是区域概念, 给全局区域授权, 只在全局区域生效, 在其他区域不生效例如 : 创建云硬盘的细粒度策略 ("evs:volumes:create"), 由于 EVS 服务属于项目级服务, 作用范围必须选择项目级服务, 如果需要该策略对多个项目生效, 需要分别授权, 用户登录后, 切换至授权区域进行云资源管理操作, 该策略才能生效步骤 7 ( 可选 ) 输入策略描述步骤 8 在策略信息区域, 单击选择模板, 例如选择 VPC Admin 作为模板步骤 9 单击确定步骤 10 修改模板中策略授权语句 (Statement) 中的作用 (Effect) 和权限集 (Action) 详情请参考策略语言自定义策略版本号 (Version) 固定为 1.1, 不可修改自定义策略中可以包含多个策略授权语句 (Statement) 作用 (Effect): 允许 (Allow) 和拒绝 (Deny), 当策略中既有 Allow 又有 Deny 的授权语句时, 遵循 Deny 优先的原则权限集 (Action): 写入各服务 API 授权项列表中授权项中的内容, 例如 : "vpc:vpcs:create", 来调用表格左侧的 API, 实现 API 功能支持的细粒度授权文档版本 14 ( ) 版权所有华为技术有限公司 17

22 3 管理细粒度策略策略仅支持 API 接口级别的权限, 用户需要在 Action 中写入各服务 API 授权项列表中授权项中的内容, 来调用表格中左侧的 API 接口来实现细粒度授权各服务支持的策略 API 授权列表, 详情请参见 : 权限策略图 3-3 授权项示例步骤 11 单击确定如果系统提示语法错误, 请按照语法规范进行修改自定义策略创建成功用户可以在用户组中选择新创建的自定义策略, 实现细粒度授权 ---- 结束后续操作修改自定义策略当用户的权限发生变更时, 您可以修改自定义策略单击自定义策略页签中, 目标策略操作列的修改, 修改自定义策略的名称描述及策略信息删除自定义策略当您不再需要自定义授权策略时, 您可以将自定义策略删除单击自定义策略页签中, 目标策略操作列的删除, 删除自定义策略将新创建的自定义策略授权给用户组, 使用户组中的用户具有策略定义的权限 a. 单击目标用户组操作列的修改 b. 在用户组权限区域中, 单击需要授权项目操作列的修改 c. 在策略对话框中的可选择策略区域选择新创建的自定义策略文档版本 14 ( ) 版权所有华为技术有限公司 18

23 4 设置账号安全策略 4 设置账号安全策略拥有安全管理员权限 (Security Administrator 权限 ) 的用户可以设置登录验证策略密码策略及访问控制列表来提高用户信息和系统的安全性操作步骤步骤 1 在系统首页, 单击控制台步骤 2 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 3 步骤 4 设置登录验证策略 1. 在左侧导航窗格中, 选择账号设置 > 登录验证策略 2. 在账号锁定策略区域输入限定时间长度限定时间内登录失败次数账号锁定时长如果在限定时间长度内达到登录失败次数后, 账号会被锁定一段时间如 : 在 10 分钟内连续 3 次登录失败, 用户会被锁定 15 分钟 15 分钟后可以尝试再次登录 3. 在账号停用策略区域, 选中如果账号在有效期内未使用过, 则将被停用, 设置账号有效期限账号停用策略为账号安全保护策略, 账号被停用后, 不影响账号内的资源使用, 用户可以联系管理员重新启用账号 4. 在会话超时策略区域, 设置会话超时时长, 会话超时时长默认为 60 分钟, 用户可以在 15 分钟至 24 小时的范围内进行设置, 若用户超过设置的时长未操作界面, 需要重新登录 5. 在最近登录提示区域中, 选中登录成功时, 将看到上次登录的时间等信息用户将在登录时的登录验证页面中看到上次登录的时间等登录提示信息 6. 在最近登录提示区域, 自定义登录时的验证信息用户将在登录验证页面中看到自定义的验证提示信息 7. 单击确定设置密码策略 1. 在左侧导航窗格中, 选择账号设置 > 密码策略 2. 在密码设置策略区域中, 进行如下设置 : 设置密码最小长度文档版本 14 ( ) 版权所有华为技术有限公司 19

24 4 设置账号安全策略系统默认值为 6 个字符选择设置密码时同一字符不能连续出现, 设置密码中允许同一字符连续出现的最大次数选择新密码不能与最近的历史密码相同, 设置新密码不能与最近几次的历史密码相同 3. 在密码有效期策略区域中, 选择密码过期后, 系统强制要求修改密码 ( 距离密码到期 15 天时开始提示用户修改密码 ), 设置密码有效期密码过期后, 用户必须根据系统提示修改密码, 否则无法登录系统密码必须满足如下策略 : 不能少于 6 个字符且不超过 32 个字符包括大写字母 (A~Z), 小写字母 (a~z), 数字 (0~9) 和特殊字符 ( 空格!"#$ %&'()*+,-./:;<=>?@[^`_ ~) 至少 2 种的组合不能是用户名或者用户名的倒序 ( 不区分大小写 ), 例如 : 用户名为 A12345, 则密码不能为 A12345 a A 和 54321a 不能包含手机号或邮箱 4. 在密码最短使用时间策略区域中, 选择密码初次生成和每次修改之后, 密码的使用时间必须超过设置的最短使用时间, 才能进行修改, 设置密码最短使用时间当用户密码修改后, 再次修改密码时需要满足该策略设置的时间后才能修改 5. 单击应用步骤 5 设置访问控制列表 1. 在左侧导航窗格中, 选择账号设置 > 访问控制列表访问控制列表生效条件 : 通过管理控制台访问 : 仅对账号下的用户生效, 对账号本身不生效通过 API 接口访问 : 对账号和账号下的用户都生效, 修改后 2 小时后生效 2. 在访问控制列表界面中, 设置允许访问的 IP 地址或网段允许访问的 IP 地址区间 : 限制用户只能从设定范围内的 IP 地址登录系统允许访问的 IP 地址或网段 : 限制用户只能从设定的 IP 地址或网段登录系统例如 : /32 单击恢复默认值, 可以将允许访问的 IP 地址区间恢复为默认值, 即 ~ , 同时将允许访问的 IP 地址或网段清空允许访问的 IP 地址区间和允许访问的 IP 地址或网段同时设置时只要满足其中一种即可允许访问 3. 单击应用步骤 6 设置操作保护伙伴云暂不支持该功能 1. 在左侧导航窗格中, 选择账号设置 > 操作保护 2. 在操作保护界面, 勾选是否开启文档版本 14 ( ) 版权所有华为技术有限公司 20

25 4 设置账号安全策略 3. 单击保存 ---- 结束勾选为开启操作保护, 去勾选为关闭操作保护 ( 默认关闭 ) 敏感操作由各个服务单独定义用户执行敏感操作后, 进入操作保护页面, 选择认证方式, 包括电子邮件和手机两种认证方式如果用户只绑定了手机, 则认证方式只能选择手机如果用户只绑定了电子邮箱, 则认证方式只能选择邮件如果用户手机电子邮箱均已绑定, 默认选择手机验证, 同时, 用户可以手动更改为邮件验证如果用户未绑定手机或电子邮箱, 该操作保护将无法生效, 默认直接认证通过文档版本 14 ( ) 版权所有华为技术有限公司 21

26 5 管理委托 5 管理委托 5.1 委托其他账号管理资源当需要与其他账号共享资源, 或需要委托其他账号管理资源时, 可以创建委托并授予被委托方资源管理权限以账号 A 委托账号 B 管理账号 A 中的某些资源为例, 讲述委托的原理及方法步骤 1 账号 A 的安全管理员 A 创建委托图 5-1 创建委托模型步骤 2 账号 B 的安全管理员 B 授予用户 Job 管理账号 A 资源的权限 (Agent Operator) 1. 创建用户组 ( 如 :Agency) 并授予 Agent Operator 权限 2. 将用户 Job 加入到用户组 (Agency) 中文档版本 14 ( ) 版权所有华为技术有限公司 22

5 管理委托图 5-2 委托授权模型步骤 3 账号 B 的用户 Job 根据权限管理账号 A 的资源 1.

被委托方使用自己的用户登录系统后, 切换到您的账号下管理您的资源, 而不必要将您账号中的用户安全凭证 ( 密码 / 密钥 )

在下拉列表中选择统一身份认证步骤 3 在左侧导航窗格中, 单击委托步骤 4 在委托页面, 单击创建委托步骤

27 5 管理委托图 5-2 委托授权模型步骤 3 账号 B 的用户 Job 根据权限管理账号 A 的资源 1. Job 登录系统, 并切换角色到账号 A 2. 切换到项目 A 3. 根据权限管理账号 A 的资源图 5-3 管理委托模型 ---- 结束 5.2 如何创建委托通过创建委托, 可以将资源共享给其他账号, 或委托更专业的人或团队来代为管理资源被委托方使用自己的用户登录系统后, 切换到您的账号下管理您的资源, 而不必要将您账号中的用户安全凭证 ( 密码 / 密钥 ) 共享给其他账号, 确保了您的账号安全操作步骤步骤 1 在系统首页, 单击控制台步骤 2 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 3 在左侧导航窗格中, 单击委托步骤 4 在委托页面, 单击创建委托步骤 5 在创建委托页面, 设置委托名称和委托类型表 5-1 委托类型委托类型普通账号描述系统的其他普通账号, 用于将资源共享给其他账号或委托更专业的人或团队来代为管理账号中的资源文档版本 14 ( ) 版权所有华为技术有限公司 23

28 5 管理委托委托类型云服务描述系统的服务, 用于授权云服务访问或者维护用户数据例如, 通过与 ECS 建立委托关系,ECS 可以获取用户的访问密钥调用 API 接口, 帮助用户运维或者监控数据委托类型为云服务的委托创建成功后, 不支持修改如果选择委托类型为普通账号, 在委托的账号中输入需要建立委托关系的其他普通账号的账号名如果选择委托类型为云服务, 单击选择, 选择需要委托管理的云服务步骤 6 步骤 7 设置持续时间及描述信息在权限选择区域中, 单击需要设置的区域对应项目的修改, 给委托企业选择策略具体权限请参见 : 权限策略步骤 8 单击确定委托列表中显示新创建的委托, 被委托方可以通过切换角色切换至委托方帐户中管理资源 ---- 结束后续操作在委托列表中, 单击修改, 可以修改新建委托的基本信息, 包括委托的权限持续时间等只能修改委托类型为普通账号的委托 5.3 切换角色当其他账号委托您管理他的资源时, 即您是被委托方, 您的用户登录系统后通过切换角色的方式来管理其他账号中的资源, 创建委托的用户, 即委托方, 不需进行切换角色操作前提条件已有账号与您创建了委托关系您已经获取到委托方的账号名称及所创建的委托名称您已经创建用户并授予该用户 Agent Operator 权限只有具有 Agent Operator 权限的用户可以在自己账号中, 通过切换角色, 切换至委托方账号文档版本 14 ( ) 版权所有华为技术有限公司 24

29 5 管理委托操作步骤步骤 1 具有 Agent Operator 权限的用户登录系统步骤 2 单击右上方已登录的账号, 选择切换角色步骤 3 在切换角色页面中, 输入委托方的账号名称输入账号名称后, 系统将会自动匹配委托名称, 如果匹配的不是本次需要使用的委托名称, 可以删除委托名称, 在下拉框中选择对应的委托名称步骤 4 单击确定, 切换至委托方账号中可以根据委托方授予的权限管理委托方的资源 ---- 结束后续操作单击右上角切换的委托账号, 选择切换至, 可以返回到您的账号管理您的资源文档版本 14 ( ) 版权所有华为技术有限公司 25

30 6 联邦身份认证 6 联邦身份认证 6.1 为什么要配置联邦身份认证未使用联邦身份认证时如果您已经有自己的身份认证系统, 用户可以通过您自己的身份认证系统进行身份验证, 通过配置联邦身份认证, 不需要在服务提供商 ( 简称 SP) 系统中重新创建用户, 使得您身份认证系统中的用户实现单点登录系统支持基于浏览器的页面单点登录 (WebSSO) 和非浏览器的调用 API 接口访问两种形式的联邦身份认证 WebSSO: 浏览器作为通讯媒介, 适用于普通用户通过浏览器访问系统调用 API 接口 : 开发工具 / 应用程序作为通讯媒介, 例如 :OpenStackClient, 适用企业或用户使用开发工具调用 API 接口访问系统调用 API 接口侧的联邦认证分为 SP initiated 方式和 IdP initiated 方式, 用户可以根据企业 IdP 系统支持的方式进行选择企业 IdP 用户不能单点登录企业管理系统有自己的 IdP( 以下称为 : 企业 IdP), 通过企业 IdP 认证的用户无法直接访问本系统图 6-1 用户认证模型 (1) 用户管理复杂管理员需要分别在两个系统中为用户创建账号文档版本 14 ( ) 版权所有华为技术有限公司 26

用户认证模型 (2) 用户管理简单企业管理员只需要在企业管理系统中为用户创建账号, 用户即可同时访问两个系统降低了人员管理成本

31 6 联邦身份认证用户操作繁琐用户访问两个系统时需要使用两个系统的账号登录图 6-2 用户登录模型 (1) 使用联邦身份认证后 IdP 用户可以单点登录企业 IdP 认证通过后, 用户即可直接访问本系统企业管理员无需在本系统中重复创建用户图 6-3 用户认证模型 (2) 用户管理简单企业管理员只需要在企业管理系统中为用户创建账号, 用户即可同时访问两个系统降低了人员管理成本用户操作方便用户在本企业管理系统中登录即可访问两个系统文档版本 14 ( ) 版权所有华为技术有限公司 27

IdP 系统完成认证后即可访问本系统企业 IdP 服务器的时间需要和本系统的时间一致,

否则会导致联邦身份认证失败步骤 1 建立本系统与企业 IdP 的信任关系详情请参见

IAM 上创建身份提供商详情请参见 : 创建身份提供商在 IAM 上设置企业 IdP

32 6 联邦身份认证图 6-4 用户登录模型 (2) 6.2 配置联邦身份认证通过配置联邦身份认证, 可以简化企业用户的管理, 企业用户在企业 IdP 系统完成认证后即可访问本系统企业 IdP 服务器的时间需要和本系统的时间一致, 即都使用世界标准时间 (Universal Time Coordinated), 否则会导致联邦身份认证失败步骤 1 建立本系统与企业 IdP 的信任关系详情请参见 : 建立信任关系图 6-5 交换 Metadata 文件模型步骤 2 步骤 3 在 IAM 上创建身份提供商详情请参见 : 创建身份提供商在 IAM 上设置企业 IdP 的用户访问权限详情请参见 : 通过规则控制联邦用户访问权限文档版本 14 ( ) 版权所有华为技术有限公司 28

6 联邦身份认证图 6-6 用户转换模型步骤 4 页面单点登录需要将本系统的访问入口配置到企业管理系统中详情请参见 : 配置页面单点登录图 6-7 配置单点登录模型企业 IdP 的用户登录后,

34 6 联邦身份认证 6.3 建立信任关系两个系统之间通过交换元数据文件建立信任关系步骤 1 下载本系统的元数据文件用户如果需要同时使用 WebSSO 和调用 API 接口访问功能, 需要同时下载 WebSSO 侧和调用 API 接口侧的元数据文件 WebSSO: 访问网址单击右键, 选择目标另存为并设置文件名称, 例如 websso-metadata.xml API 接口调用 : 访问网址 : 区域的终点节点地址 /v3-ext/auth/os- FEDERATION/SSO/metadata, 单击右键, 选择目标另存为并设置文件名称, 例如 api-metadata-region.xml 本系统在不同的区域提供不同的 API 网关供用户调用 API 接口, 如果用户需要访问多个区域, 需要下载多个区域的元数据文件步骤 2 步骤 3 步骤 4 获取企业 IdP 的元数据文件获取方法请咨询企业管理系统的管理员将本系统的元数据文件上传到企业 IdP 服务器上上传方法请咨询企业管理系统的管理员将企业 IdP 的元数据文件上传到 IAM 服务器上上传方法请参考 : 创建身份提供商 ---- 结束 6.4 创建身份提供商背景信息前提条件操作步骤在 IAM 上创建身份提供商, 并配置身份提供商的元数据文件后, 可以使企业 IdP 认证的用户直接访问本系统 IAM 仅支持使用 SAML2.0 协议进行联邦身份认证, 因此企业 IdP 必须支持 SAML2.0 协议 SAML(Security Assertion Markup Language): 安全断言标记语言, 是一个在信任域之间交互认证授权信息的 XML 标准您可以通过以下网站了解更多关于 SAML2.0 协议的基本信息 : 两个系统已建立信任关系方法请参见建立信任关系步骤 1 在系统首页, 单击控制台步骤 2 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 3 在左侧导航窗格中, 单击身份提供商步骤 4 在身份提供商界面, 单击创建身份提供商步骤 5 设置身份提供商的名称启用或停用状态及描述信息文档版本 14 ( ) 版权所有华为技术有限公司 30

35 6 联邦身份认证协议类型只支持 saml 步骤 6 单击确定创建身份提供商成功, 界面提示如图 6-8 所示 : 图 6-8 创建身份提供商成功提示信息步骤 7 步骤 8 配置身份提供商信息单击界面提示中的修改身份提供商, 界面提示关闭后, 可以单击目标身份提供商操作列的修改在修改身份提供商页面的元数据配置区域配置元数据, 以下两种方式选择其中一种即可元数据配置支持上传和手动编辑两种方式, 如果元数据文件超过 500KB, 可以通过手动编辑配置元数据上传元数据 : a. 单击上传文件左侧的, 选择获取的企业 IdP 的元数据文件 b. 单击上传文件弹出页面显示系统提取到的元数据 c. 单击确定提示系统发现您上传的文件中包含多个身份提供商, 请选择您本次需要使用的身份提供商, 请在 Entity ID 下拉框中选择您本次需要使用的身份提供商提示元数据文件中 Entity ID 为空签名证书过期等内容时, 需要您确认元数据文件的正确性后, 重新上传或者通过手动编辑提取元数据 d. 单击确定 e. 单击, 可以查看系统提取的元数据详情手动编辑元数据 a. 单击手动编辑 b. 在手动编辑元数据页面中, 输入 Entity ID 签名证书和 SingleSignOnService 等参数参数 Entity ID 含义企业身份提供商的唯一标识, 元数据文件中可能包含多个身份提供商, 需要选择对应的身份提供商文档版本 14 ( ) 版权所有华为技术有限公司 31

36 6 联邦身份认证参数支持的协议支持的 NameIdFormat 签名证书 SingleSignOnService SingleLogoutService 含义企业 IdP 与服务提供商之间, 通过 SAML 协议完成联邦认证,IAM 只支持 SAML2.0 协议身份提供商支持的用户名称标识格式名称标识是身份提供商与联邦用户之间实现通信的一种方式是一份包含公钥用于验证签名的证书, 为了确保安全性, 建议使用长度大于等于 2048 位的公钥系统通过元数据文件中的签名证书来确认联邦认证过程中断言消息的可信性完整性单点登录过程中发送 SAML 请求的方式元数据文件中的 SingleSignOnService 需要支持 HTTP Redirect 或 HTTP POST 方式单点登录详情请参见单点登录流程服务提供商提供会话注销功能, 联邦用户在 IAM 注销会话后返回绑定的地址 SingleLogoutService 需要支持 HTTP Redirect 或 HTTP POST 方式 c. 单击确定步骤 9 单击确定, 保存设置信息 ---- 结束结果验证步骤 1 单击目标身份提供商列表右侧的查看图 6-9 身份提供商基本信息步骤 2 步骤 3 单击登录链接右侧的复制, 复制登录链接的地址, 并在浏览器中打开检查是否可以跳转到企业的 IdP 服务器提供的登录界面如果跳转失败, 请确认获取的企业元数据文件以及企业的 IdP 服务器是否配置正确步骤 4 输入用户名和密码验证是否可以登录到本系统登录成功, 将该地址以链接的形式配置到您自己的企业网站方法请参考配置页面单点登录登录失败, 请检查您的用户名和密码 ---- 结束文档版本 14 ( ) 版权所有华为技术有限公司 32

37 6 联邦身份认证后续处理相关任务在身份转换规则区域, 创建身份转换规则身份转换规则详情请参见通过规则控制联邦用户访问权限在企业管理系统中配置单点登录, 方法请参考 : 配置页面单点登录查看身份提供商信息 : 在身份提供商列表中, 单击查看, 可查看身份提供商的基本信息元数据详情身份转换规则单击查看身份提供商页面下方的修改身份提供商, 可直接进入修改身份提供商界面修改身份提供商信息 : 在身份提供商列表中, 单击修改进入修改身份提供商界面可修改身份提供商的状态 ( 启用或停用 ) 描述信息元数据信息和身份转换规则删除身份提供商 : 在身份提供商列表中, 单击删除, 删除对应的身份提供商 6.5 配置页面单点登录前提条件操作步骤将身份提供商的登录链接配置到企业管理系统上, 企业用户通过企业 IdP 认证后即可访问本系统已创建身份提供商, 并验证身份提供商的登录链接可以正常使用步骤 1 在系统首页, 单击控制台步骤 2 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 3 在左侧导航窗格中, 单击身份提供商步骤 4 单击目标身份提供商列表右侧的查看步骤 5 单击登录链接右侧的复制步骤 6 在企业管理系统页面按 F12 将如下内容配置在页面上 <a href="< 登录链接 >"> 系统入口 </a> 文档版本 14 ( ) 版权所有华为技术有限公司 33

38 6 联邦身份认证图 6-10 配置入口模型用户登录企业管理系统后通过单击系统入口可以直接访问本系统 ---- 结束 6.6 通过规则控制联邦用户访问权限联邦用户的身份及权限信息由企业管理员通过企业 IdP 维护, 通过规则可以将联邦用户的身份及权限信息映射到本系统中, 通过规则可以控制联邦用户可以执行哪些操作访问哪些资源等前提条件已创建身份提供商, 并验证身份提供商的登录链接可以正常使用了解 SAML2.0 协议, 熟悉元数据文件了解 SAML2.0 认证成功后的 Assertion 结构操作步骤步骤 1 在系统首页, 单击控制台步骤 2 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 3 在左侧导航窗格中, 单击身份提供商步骤 4 在身份提供商列表中, 选择您创建的身份提供商, 单击修改进入修改身份提供商界面步骤 5 在身份转换规则区域单击创建规则当您创建完身份提供商后, 系统会预置一条默认的规则, 该规则将联邦用户的用户名统一转换为 FederationUser, 用于在本系统中显示用户名称仅允许当前 IdP 的联邦用户访问部分资源若此条规则不符合您的使用要求, 您可在编辑规则中将其修改文档版本 14 ( ) 版权所有华为技术有限公司 34

39 6 联邦身份认证图 6-11 创建规则示例用户名 : 表示联邦用户在本系统中显示的用户名为了便于区分本系统的用户与联邦用户, 建议联邦用户使用 FederationUser_ 开头用户名可以自定义具体名称, 也可以是一个简单的表达式, 如 :FederationUser_ 规则创建成功后, 自动替换为联邦用户的邮箱即系统中显示的用户名为 : FederationUser_XXX@XXX(XXX@XXX 为用户邮箱 ) 如果断言中没有用户邮箱, 则该规则不生效用户组 : 表示联邦用户在本系统中所属的用户组用户属于哪些用户组, 决定了用户具有什么权限本规则生效条件 : 定义联邦用户拥有所选用户组权限的生效条件当满足该生效条件时, 联邦用户具有所属用户组的权限 ; 当不满足生效条件时, 该规则不生效, 且不满足生效条件的用户无法访问本系统例如, 为企业系统管理员设定规则用户名 :FederationUser_admin_ 用户组 : admin 生效条件 : 仅对指定 ID 的用户生效 ( 属性设置为 _NAMEID_, 条件设置为 any_one_of, 值设置为 ID1;ID2;ID3 ) 表示仅用户 ID 为 ID1,ID2 或 ID3 的用户具有本系统中的 admin 用户组的权限该 IdP 的其他用户不具有 admin 用户组的权限一个规则可以创建多条生效条件, 只要有一条生效条件满足, 此规则即可生效一个身份提供商可以创建多条规则, 规则共同作用如果所有规则对某个联邦用户都不生效, 那么该联邦用户禁止访问本系统步骤 6 在创建规则页面, 单击确定文档版本 14 ( ) 版权所有华为技术有限公司 35

40 6 联邦身份认证步骤 7 在修改身份提供商页面, 单击确定, 使设置生效 ---- 结束相关任务查看规则 : 在身份转换规则区域单击查看规则新创建的身份转换规则在 JSON 文件中显示 JSON 文件内容请参考 : 联邦用户身份转换规则编辑规则 : 在身份转换规则区域单击编辑规则该功能为了满足各种联邦认证要求提供了比较灵活的编辑规则的语法, 示例参考 : 联邦用户身份转换规则规则编辑完成后, 可以单击页面左下角的校验规则, 校验规则的正确性 6.7 联邦用户身份转换规则规则条件示例联邦身份转换规则采用 JSON 文件格式呈现您可以通过编辑 JSON 文件来修改规则 JSON 格式如下 : [ "remote": [ "<condition>", "local": [ "<user> or <group> or <groups>" remote: 表示联邦用户在 IdP 中的用户信息, 由断言属性及运算符组成的表达式, 取值由断言决定 condition: 表示联邦用户映射到系统中的身份转换规则当前支持三种条件 : empty: 无限制, 即条件一直生效, 返回输入属性的值, 值可以用于填充 local 块中的占位符 any_one_of: 输入属性值中只要包含一个指定值即生效, 并返回布尔值, 返回值不能用于 local 块中的占位符 not_any_of: 输入属性值中不包含任何指定值才生效, 并返回布尔值, 返回值不能用于 local 块中的占位符 local: 表示联邦用户在系统中的用户信息可以是占位符 0..n,0 表示 remote 中用户信息的第一个属性,1 表示 remote 中用户信息的第二个属性通过示例来加深您对身份转换规则条件 (empty any_one_of not_any_of) 的理解 empty: 该条件的特点是能够返回一个具体字串值, 该值用于填充 local 块中的占位符 0..n, 如下所示 [ "local": [ 文档版本 14 ( ) 版权所有华为技术有限公司 36

41 6 联邦身份认证, "user": "name": "0 1" "group": "name": "2", "remote": [ "type": "FirstName", "type": "LastName", "type": "Group" 表示联邦用户在系统中的用户名称为 remote 的第一个属性值 + 空格 + 第二个属性值, 即 FirstName LastName 所属用户组为 remote 的第三个属性值, 即 Group,Group 属性的值只能有一个假设传入以下断言 ( 为了方便理解, 简化了断言的结构, 之后的示例也将做类似的简化, 不再重复提示 ), 则联邦用户在系统中的用户名为 John Smith,John Smith 在系统中只属于 admin 用户组 FirstName: John LastName: Smith Groups: admin 如果联邦用户需要在系统中属于多个用户组, 身份转换规则如下所示 [ "local": [ "user": "name": "0 1", "groups": "2", "remote": [ "type": "FirstName", "type": "LastName", "type": "Groups" 表示联邦用户在系统中的用户名称为 remote 的第一个属性值 + 空格 + 第二个属性值, 即 FirstName LastName 所属用户组为 remote 的第三个属性值, 即 Groups 假设传入以下断言, 则联邦用户在系统中的用户名为 John Smith,John Smith 属于 admin 和 manager 用户组文档版本 14 ( ) 版权所有华为技术有限公司 37

42 6 联邦身份认证 FirstName: John LastName: Smith Groups: [admin, manager any one of not any of: 与 Empty 条件不同, 这两个条件返回的是一个布尔值, 该值不能用于填充 local 中的占位符所以以下示例中, 仅有一个占位符 0 用于被 remote 块中的第一个 Empty 条件填充, 第二个 group 为一个固定的值 admin [ "local": [ "user": "name": "0", "group": "name": "admin", "remote": [ "type": "UserName", "type": "Groups", "any_one_of": [ "idp_admin" 表示联邦用户在系统中的用户名为 remote 的第一个属性, 即 UserName 所属用户组为 admin 该规则仅对在 IdP 中属于 idp_admin 用户组的用户生效如果联邦用户需要在系统中属于多个用户组, 身份转换规则如下所示 [ "local": [ "user": "name": "0", "groups": "[\"admin\",\"manager\"", "remote": [ "type": "UserName", "type": "Groups", "any_one_of": [ "idp_admin" 表示联邦用户在系统中的用户名为 remote 的第一个属性, 即 UserName 所属用户组为 admin 和 manager 该规则仅对在 IdP 中属于 idp_admin 用户组的用户生效文档版本 14 ( ) 版权所有华为技术有限公司 38

43 6 联邦身份认证假设传入以下断言, 由于 John Smith 属于 idp_admin 用户组, 所以允许该用户访问系统 UserName: John Smith Groups: [idp_user, idp_admin, idp_agency 假设传入以下断言, 由于 John Smith 不属于 idp_admin 用户组, 所以该规则对 John Smith 不生效, 不允许 John Smith 访问系统 UserName: John Smith Groups: [idp_user, idp_agency 含有正则表达式的条件 : 你可以在条件里指定一个 "regex": true 用来表示系统将以正则匹配的方式来计算结果 [ "local": [ "user": "name": "0", "group": "name": "admin", "remote": [ "type": "UserName", "type": "Groups", "any_one_of": [ ".*@mail.com$", "regex": true 结尾的用户生效, 在系统中的用户名为 UserName, 所属用户组为 admin 条件组合 : 多个条件间, 以逻辑与的方式组合 [ "local": [ "user": "name": "0", "group": "name": "admin", "remote": [ "type": "UserName", "type": "Groups", "not_any_of": [ "idp_user", 文档版本 14 ( ) 版权所有华为技术有限公司 39

44 6 联邦身份认证 "type": "Groups", "not_any_of": [ "idp_agent" 表示该规则仅对既不属于 IdP 的 idp_user 也不属于 IdP 的 idp_agent 用户组的联邦用户生效对于生效用户 : 在系统中的用户名为 UserName, 所属用户组为 admin 以上规则等同于 : [ 多规则 "local": [ "user": "name": "0", "group": "name": "admin", "remote": [ "type": "UserName", "type": "Groups", "not_any_of": [ "idp_user", "idp_agent" 多个规则组合, 用户名与用户组生成方式不同用户名取第一个生效规则的用户名, 所有规则中必须至少有一个用户名规则生效, 否则系统不允许此用户登录 ; 而用户组则取所有生效规则用户组名称的集合一种比较实用的多规则配置方式是把用户名配置与用户组配置分离这样的配置会非常容易阅读 [, "local": [ "user": "name": "0", "remote": [ "type": "UserName" "local": [ 文档版本 14 ( ) 版权所有华为技术有限公司 40

45 6 联邦身份认证 "group": "name": "admin", "remote": [ "type": "Groups", "any_one_of": [ "idp_admin" 表示针对 IdP 中属于 idp_admin 用户组的用户生效, 在系统中的用户名为 UserName, 所属用户组为 admin 假设传入以下断言, 由于 John Smith 属于 idp_admin 用户组, 因此此规则对 John Smith 生效在系统中的用户名为 John Smith, 所属用户组为 admin UserName: John Smith Groups: [idp_user, idp_admin, idp_agency 6.8 单点登录流程完成联邦认证配置后, 联邦用户通过企业 IdP 登录认证后可以直接访问本系统本章介绍通过 IdP 认证后如何在 IAM 中进行认证文档版本 14 ( ) 版权所有华为技术有限公司 41

IAM 根据链接中携带的账号和 IdP 信息, 查找出企业 IdP 的 Metadata 文件, 构建 SAML Request, 响应到浏览器 3. 浏览器响应后转发 SAML Request 到企业 IdP 4.

46 6 联邦身份认证图 6-12 登录流程模型步骤为方便您查看交互的请求及断言消息, 建议您使用 Chrome 浏览器并安装插件 SAML Message Decoder 1. 在浏览器中打开创建身份提供商后生成的登录链接,Web Browser 发起单点登录 2. IAM 根据链接中携带的账号和 IdP 信息, 查找出企业 IdP 的 Metadata 文件, 构建 SAML Request, 响应到浏览器 3. 浏览器响应后转发 SAML Request 到企业 IdP 4. 用户在 IdP 服务器, 输入用户名和密码等完成身份认证 5. IdP 服务器构造断言到 SAML Response, 响应到浏览器中 6. 浏览响应后转发 SAML Response 到 IAM 7. IAM 从 SAML Response 取出断言进行解析, 并根据配置的规则, 生成 Token, 完成登录文档版本 14 ( ) 版权所有华为技术有限公司 42

48 7 管理安全凭证 7 管理安全凭证 7.1 查看安全凭证操作步骤当您需要通过界面或者 API 访问系统, 或者进行业务对接时, 需要使用您的安全凭证, 您可以通过我的凭证查看安全凭证步骤 1 在控制台页面, 单击右上方登录的用户, 在下拉列表中选择我的凭证步骤 2 在我的凭证页面, 查看账号基本信息表 7-1 账号基本信息基本信息用户名用户 ID 账号名账号 ID 已验证邮箱已验证手机密码用户的登录名, 登录系统时需要提供用户在系统中的标识 ID, 由系统自动生成账号的名称账号是承担费用的主体 ( 例如一个企业 ), 在注册时自动创建, 云服务资源按账号完全隔离登录系统时需要提供账号在系统中的标识 ID, 由系统自动生成用户绑定的邮箱地址可以通过已验证邮箱登录系统或者重置密码, 也可以接收验证码和系统推送信息用户绑定的手机号码可以通过已验证手机登录系统或者重置密码, 也可以接收验证码和系统推送信息用户在系统中设置的登录密码登录验证方式目前提供虚拟 MFA 短信邮箱这三种登录验证方式, 开启后, 登录时除了需要在页面上输入用户名和密码外, 系统还要求用户输入虚拟 MFA/ 短信 / 邮箱的验证码虚拟 MFA 用户需要绑定 MFA 应用程序后, 才可以开启虚拟 MFA 登录验证文档版本 14 ( ) 版权所有华为技术有限公司 44

49 7 管理安全凭证基本信息项目项目列表访问密钥项目用于将 OpenStack 的资源 ( 计算资源存储资源和网络资源等 ) 进行分组和隔离用户拥有的资源必须挂载在项目下, 项目可以是一个部门或者项目组通过在区域下创建项目, 来实现资源的隔离管理账号可访问的项目列表, 在访问 OpenStack 原生 API 时需要指定 project 参数用户的 Access Key/Secret Key (AK/SK), 最多可创建两对, 使用 API 访问系统时需要使用 AK/SK 进行加密签名 ---- 结束 7.2 如何修改安全凭证背景信息操作步骤用户可以修改自己的凭证信息, 包括已验证邮箱密码头像等为了确保用户信息的安全, 建议您定期修改密码并开启登录验证功能如果第三方系统用户没有登录密码, 可以通过以下方式设置 : 如果已经绑定了邮箱或手机, 可以通过系统登录页面的忘记密码功能设置登录密码如果未绑定邮箱或手机, 请联系并提供邮箱给安全管理员 ( 具有 Security Administrator 权限的用户 ), 管理员通过设置用户凭证功能设置登录密码详情请参考 : 查看或修改用户信息步骤 1 在控制台页面, 单击右上方登录的用户, 在下拉列表中选择我的凭证步骤 2 在我的凭证页面中, 修改如下信息 : 修改已验证邮箱已验证手机, 密码操作类似, 以修改已验证邮箱为例 : 已验证邮箱 a. 单击已验证邮箱对应的修改, 进入修改注册邮箱页面 b. 在验证身份步骤, 选择验证方式 : 邮箱或者手机用户只有同时绑定了邮箱和手机, 才能选择验证方式 c. 输入验证码 d. 单击下一步 e. 进入修改注册邮箱步骤, 输入新注册邮箱和邮箱验证码 f. 单击确定, 完成修改登录验证方式 a. 单击修改, 在修改登录保护页面中, 选择需要使用的验证方式, 然后输入相应的验证码文档版本 14 ( ) 版权所有华为技术有限公司 45

50 7 管理安全凭证 b. 单击确认头像 ---- 结束修改登录验证方式成功用户需要绑定 MFA 应用程序后, 才可以开启虚拟 MFA 登录验证开启该功能后, 登录系统时, 需要在登录验证页面输入虚拟 MFA/ 短信 / 邮箱验证码进行验证选择关闭, 单击确认, 可以关闭登录验证 a. 在我的凭证页面, 单击头像下方的更换进入更换头像页面 b. 单击本地上传, 选择图片 c. 单击确定完成头像更换 7.3 如何管理访问密钥访问密钥即 AK/SK(Access Key ID/Secret Access Key), 表示一组密钥对, 用于验证调用 API 发起请求的访问者身份, 与密码的功能相似用户通过调用 API 接口进行云资源管理 ( 如创建 VPC) 时, 需要使用成对的 AK/SK 进行加密签名, 确保请求的机密性完整性和请求双方身份的正确性用户可以在我的凭证中生成并管理访问密钥操作步骤步骤 1 在控制台页面, 单击右上方登录的用户, 在下拉列表中选择我的凭证步骤 2 步骤 3 在我的凭证页面, 单击管理访问密钥页签可以查看已创建的访问密钥管理访问密钥新增访问密钥并下载 a. 单击列表上方的新增访问密钥每个用户最多可创建 2 个访问密钥, 有效期为永久为了账号安全性, 建议您妥善保管访问密钥 b. 输入登录密码和验证码 c. 单击确定, 生成并下载访问密钥删除访问控制密钥 a. 单击删除 b. 输入登录密码和验证码 c. 单击确定文档版本 14 ( ) 版权所有华为技术有限公司 46

51 7 管理安全凭证当用户发现访问密钥被异常使用 ( 包括丢失泄露等情况 ), 可以自行删除或者通知管理员重置访问密钥删除的访问密钥将无法恢复 ---- 结束 7.4 如何查看项目 ID 操作步骤项目 ID 是系统所在区域的 ID 用户在调用 API 接口 ( 如 : 创建 VPC) 时, 需要提供项目 ID 步骤 1 在控制台页面, 单击右上方登录的用户, 在下拉列表中选择我的凭证步骤 2 在我的凭证页面的项目列表页签查看项目 ID 图 7-1 项目 ID 示例 ---- 结束文档版本 14 ( ) 版权所有华为技术有限公司 47

52 8 使用伙伴云 8 使用伙伴云云联盟用户可以在归属云的管理控制台跳转到伙伴云的管理控制台, 来使用伙伴云的资源及服务背景信息云联盟 : 一个组织运营商之间建立具有合作关系的云联盟, 以实现联盟间的资源网络等共享当前云联盟成员有 : 华为云 Orange Cloud for Business 归属云 : 用户与运营商 ( 如华为云 ) 签订云联盟协议, 则华为云为用户的归属云伙伴云 : 云联盟中非归属云的运营商称为用户的伙伴云, 例如 :Orange Cloud for Business 云联盟用户, 包括账号和 IAM 用户, 通过系统映射的方法, 可以自动同步到伙伴云中, 不需重新注册账号或者重复创建用户云联盟用户在归属云中如果属于默认用户组 admin, 则在伙伴云中也属于默认用户组 admin, 如果在归属云中属于自定义用户组, 则在伙伴云需要创建同名用户组并授予相关权限 ( 权限可以不与归属云相同 ), 用户跳转至伙伴云后, 自动继承同名用户组的权限云联盟用户在归属云和伙伴云的资源是独立的, 在伙伴云的资源管理操作不影响归属云伙伴云的资源通过归属云进行计费前提条件已签约成为云联盟用户如何签约成为云联盟用户, 详情可咨询华为云客服操作步骤步骤 1 使用开通了云联盟服务的用户, 登录归属云该用户是归属云默认用户组 admin 中的用户步骤 2 在归属云系统首页, 单击控制台文档版本 14 ( ) 版权所有华为技术有限公司 48

53 8 使用伙伴云步骤 3 在控制台页面, 单击左上角的, 在下拉框中选择需要访问的伙伴云, 即可免密跳转到伙伴云的管理控制台不能直接使用归属云账号登录伙伴云该用户在伙伴云属于默认用户组 admin 中的用户步骤 4 在伙伴云管理控制台, 选择管理与部署 > 统一身份认证服务步骤 5 在左侧导航窗格中, 单击用户组步骤 6 在用户组界面中, 单击创建用户组云联盟用户只需在伙伴云创建与归属云同名的用户组, 不需要创建同名用户步骤 7 输入用户组名称用户组名称需要与归属云中的用户组同名步骤 8 ( 可选 ) 输入描述建议给用户组添加描述, 比如给用户组授予 Security Administrator 权限, 可以在描述中添加 Security Administrator: 创建删除修改用户并为用户授权或者自定义内容, 方便用户直观的查看自己所具备的权限及权限作用具体权限信息请参见 : 权限策略步骤 9 单击确定返回用户组列表, 用户组列表中显示新创建的用户组步骤 10 单击新建用户组右侧的修改进入修改用户组界面步骤 11 在用户组权限区域中, 单击需要授权项目右侧的修改授予的权限仅对当前项目生效如果需要为用户组授予多个项目的权限, 请分别单击所需要授权的项目对应的修改进行授权用户组在伙伴云的权限不需要与归属云的相同, 即用户组在归属云 A 项目下具备 A 权限, 在伙伴云可以具备 B 项目的 B 权限步骤 12 在策略对话框中选择授权策略步骤 13 单击确定归属云中属于自定义用户组中的用户, 跳转至伙伴云后, 将自动继承伙伴云同名用户组的权限 ---- 结束云联盟用户无法在伙伴云进行个人信息更改, 如果需要修改邮箱手机和密码等信息, 需要在归属云上修改云联盟用户在伙伴云进行云资源管理 ( 如访问 OBS 服务 ) 时, 需要使用访问密钥进行加密签名, 请参考如何获取伙伴云的访问密钥进行操作文档版本 14 ( ) 版权所有华为技术有限公司 49

54 9 修订记录 9 修订记录表 9-1 文档修订记录日期修订记录第十四次正式发布本次变更如下 : 新增使用伙伴云章节第十三次正式发布设置账号安全策略中新增设置会话超时策略本次变更如下创建用户和查看或修改用户信息中新增是否重置密码步骤新增云审计服务支持的 IAM 操作列表章节新增查看审计日志章节第十二次正式发布本次变更如下 : 新增细粒度策略章节新增策略语言章节新增创建自定义策略章节第十一次正式发布本次变更如下 : 第十次正式发布如何创建委托中新增委托类型的表格本次变更如下 : 删除权限章节, 权限详情请参考权限文档版本 14 ( ) 版权所有华为技术有限公司 50

56 9 修订记录日期修订记录第七次正式发布本次变更如下 : 新增以下内容 : 建立信任关系章节单点登录流程章节 APM Admin 权限描述 CCS Administrator 权限描述 CCS User 权限描述 CDE Admin 权限描述 CDE Developer 权限描述 SvcStg Admin 权限描述 SvcStg Developer 权限描述 SvcStg Operator 权限描述 SWR Admin 权限描述修改 RDS Administrator 权限描述删除以下内容 : te_devcloud_project_admin 权限描述 te_devcloud_project_poweruser 权限描述 te_devcloud_project_readonly 权限描述 te_devcloud_codehub_admin 权限描述 te_devcloud_codehub_poweruser 权限描述 te_devcloud_codehub_readonly 权限描述 te_devcloud_codecheck_admin 权限描述 te_devcloud_codecheck_poweruser 权限描述 te_devcloud_codecheck_readonly 权限描述 te_devcloud_codeci_admin 权限描述 te_devcloud_codeci_poweruser 权限描述 te_devcloud_codeci_readonly 权限描述 te_devcloud_test_admin 权限描述 te_devcloud_test_poweruser 权限描述 te_devcloud_test_readonly 权限描述 te_devcloud_release_admin 权限描述 te_devcloud_release_poweruser 权限描述 te_devcloud_release_readonly 权限描述文档版本 14 ( ) 版权所有华为技术有限公司 52

57 9 修订记录日期修订记录第六次正式发布本次变更如下 : 新增如何创建委托章节新增切换角色章节第五次正式发布新增 DWS Administrator 权限描述本次变更如下 : 第四次正式发布同步创建用户界面的更新, 刷新创建用户章节新增 Agent Operator 权限描述新增 CRS Administrator 权限描述本次变更如下 : 第三次正式发布同步账户策略界面的更新, 刷新设置账号安全策略章节本次变更如下 : 新增创建身份提供商章节第二次正式发布新增通过规则控制联邦用户访问权限章节本次变更如下 : 第一次正式发布新增密码最短使用时间 ( 分钟 ) 的参数设置文档版本 14 ( ) 版权所有华为技术有限公司 53