网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts盘古助手
华为云Astro大屏应用
计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
云手机服务器 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器(旧版)
VR云渲游平台 CVR
Huawei Cloud EulerOS
云化数据中心 CloudDC
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘平台 IEF
CloudPond云服务
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
湖仓构建 LakeFormation
智能数据洞察 DataArts Insight
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
开天aPaaS
应用平台 AppStage
开天企业工作台 MSSE
开天集成工作台 MSSI
API中心 API Hub
云消息服务 KooMessage
交换数据空间 EDS
云地图服务 KooMap
云手机服务 KooPhone
组织成员账号 OrgID
云空间服务 KooDrive
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
区块链
区块链服务 BCS
数字资产链 DAC
华为云区块链引擎服务 HBS
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
价格
成本优化最佳实践
专属云商业逻辑
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
其他
管理控制台
消息中心
产品价格详情
系统权限
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
云服务信任体系能力说明
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts盘古助手
华为云Astro大屏应用
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
云存储网关 CSG
专属分布式存储服务 DSS
数据工坊 DWR
地图数据 MapDS
键值存储服务 KVS
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
云原生服务中心 OSC
应用服务网格 ASM
华为云UCS
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB
云数据库 GeminiDB
数据管理服务 DAS
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
语音交互服务 SIS
人证核身服务 IVS
视频智能分析服务 VIAS
城市智能体
自动驾驶云服务 Octopus
盘古大模型 PanguLargeModels
IoT物联网
设备接入 IoTDA
全球SIM联接 GSL
IoT数据分析 IoTA
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
企业应用
域名注册服务 Domains
云解析服务 DNS
企业门户 EWP
ICP备案
商标注册
华为云WeLink
华为云会议 Meeting
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMA Exchange
API全生命周期管理 ROMA API
政企自服务管理 ESM
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
数字内容生产线 MetaStudio
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
专属云
专属计算集群 DCC
开发者工具
SDK开发指南
API签名指南
DevStar
华为云命令行工具服务 KooCLI
Huawei Cloud Toolkit
CodeArts API
云化转型
云架构中心
云采用框架
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
我的凭证
华为云公共事业服务云平台
工业软件
工业数字模型驱动引擎
硬件开发工具链平台云服务
工业数据转换引擎云服务

准备工作

更新时间:2024-10-21 GMT+08:00
分享

OneAccess提供身份数据同步的功能,数据同步的关系模型可以理解为“上游—中游—下游”。其中“上游”指各种核心身份源,例如钉钉、企业微信、HR系统、也可以是OneAccess本身的身份管理模块,“中游”即OneAccess,“下游”指各类需要和上游保持同步的应用系统。通过该模型,OneAccess可以将上游的身份数据实时传递到下游,从而保证人员的入、离、调、转等行为能够快速准确的传递到下游各个应用系统中,实现用户的全生命周期管理,从而保障身份数据的实时同步与安全。

为了同步OneAccess数据至企业应用,企业应用需提前按照数据格式开发同步事件接口,具体请参考调用说明API

下面将为您介绍通过事件回调方式同步OneAccess数据至应用的操作步骤:

  1. 企业管理员在管理门户配置事件回调
  2. 新增、修改、删除用户
  3. 新增、修改、删除组织
  4. 同步事件
  5. 全量同步
  6. 同步状态说明

事件回调配置

本节主要介绍企业管理员在OneAccess管理门户配置事件回调的方法。

  1. 登录OneAccess管理门户。
  2. 在导航栏中,单击“资源 > 应用”。
  3. 在企业应用页面,单击自建应用下的“添加自建应用”,设置Logo和名称,单击“保存”。
  4. 单击3创建的应用,在应用信息页面,在通用信息模块,单击“同步集成”后的,开启同步集成并设置同步集成方式为事件回调。单击“保存”。

    图1 开启事件回调

  5. 在通用信息模块,单击“同步集成”后的“配置”进入“参数配置”页签,根据表1说明,配置参数,单击“保存”。

    表1 配置参数

    参数

    说明

    * 回调URL

    企业应用用来接收OneAccess推送事件的地址。

    * 安全令牌

    每个事件回调接口中的请求头携带Bear token,企业应用的回调服务需要进行鉴权。

    加解密算法

    推荐使用AES/GCM/NoPadding(默认),NULL为不加密,有安全风险,请谨慎使用。

    加密密钥

    用密钥对消息进行加密,默认为空,不为空时长度必须为16位。

    签名密钥

    使用签名密钥根据消息内容生成数据签名,默认为空,不为空时长度必须为16位。

  6. (可选)单击应用图标,在左侧导航栏选择“同步集成 > 常规配置 ”,可修改同步时的映射关系,包括删除账号、删除机构和禁用账号。
  7. (可选)单击应用图标,在左侧导航栏选择“对象模型 > 应用机构模型”,单击开启应用机构。

    说明:

    开启应用机构是为了同步机构数据至企业应用。如果您不需要同步机构数据,可忽略此步骤。

  8. (可选)配置机构属性与映射。如果您只需要同步机构的内置属性,可忽略此步骤。

    1. 在左侧导航栏选择“对象模型 > 应用机构模型”,在属性定义页签,单击“添加”,可配置同步至企业应用的机构属性。
      说明:
      • 当同步内置属性至企业应用时,需与应用机构模型中内置属性的属性名保持一致。
      • 当同步非内置属性至企业应用时,需与企业管理员设置的属性名保持一致。
      表2 属性参数

      参数

      说明

      * 属性名

      同步至企业应用的字段标识,可自定义,设置成功后不支持修改。

      显示标签

      机构的属性名称。建议与属性名对应。

      描述

      属性名字段的填写说明。

      * 属性类型

      属性名字段的填写类型,可在下拉框选择,设置成功后不支持修改。

      格式

      属性类型的格式。属性类型选择文本时,可在下拉框选择。

      是否必填

      默认不勾选,即非必填。

      是否唯一

      当“属性类型”选择为“文本”时,可设置是否唯一。勾选后,同步机构数据至应用时,该属性的值具有唯一性,重复时,会提示“{显示标签}”已存在。

      是否敏感

      当“属性类型”选择文本时才需要设置该参数,勾选后,同步机构数据至应用时,数据隐藏展示,单击可以看到数据内容。

    2. 在映射定义页签,单击“编辑”,设置机构属性的映射方式。
      说明:
      • 当映射定义的转换方式选择脚本转换时,脚本编写请参考如何开发映射脚本
      • 为了避免同步异常,建议添加的机构属性与需要映射的组织属性类型保持一致。
      表3 映射参数

      参数

      说明

      组织

      映射至应用机构的组织属性,可在下拉框选择。

      转换方式

      组织属性与应用机构之间的映射方式,可在下拉框选择。

      脚本表达式

      转换方式脚本转换时,填写具体的映射脚本。

      执行方式

      组织属性与应用机构之间映射的同步方式,可在下拉框选择。

      应用机构

      1中定义的机构属性。

    3. 在“常规配置”页签,“删除系统组织”默认配置为删除应用机构,“禁用系统组织”默认配置为禁用应用机构。单击“编辑”可以修改配置,其中“删除系统组织”可以配置为禁用应用机构或不影响;“禁用系统组织”可配置为不影响。修改完成后,单击“保存”即可生效。

  9. (可选)配置账号属性和映射。如果您只需要同步账号的内置属性,可忽略此步骤。

    1. 选择“对象模型 > 应用账号模型”,在“属性定义”页签单击“添加”,可配置同步至企业应用的账号属性。
      说明:
      • 当同步内置属性至企业应用时,需与应用账号模型中内置属性的属性名保持一致。
      • 当同步非内置属性至企业应用时,需与企业管理员设置的属性名保持一致。
      表4 属性参数

      参数

      说明

      * 属性名

      同步至企业应用的字段标识,可自定义,设置成功后不支持修改。

      * 显示标签

      账号的属性名称。建议与属性名对应。

      描述

      属性名字段的填写说明。

      * 属性类型

      属性名字段的填写类型,可在下拉框选择,设置成功后不支持修改。

      格式

      属性类型的格式。属性类型选择文本时,可在下拉框选择。

      是否必填

      默认不勾选,即非必填。

      是否唯一

      当“属性类型”选为“文本”时,可设置是否唯一。勾选后,同步用户数据至应用时,该属性的值具有唯一性,重复时,会提示“{显示标签}”已存在。

      是否敏感

      当“属性类型”选择文本时才需要设置该参数,勾选后,同步用户数据至应用时,数据隐藏展示,单击可以看到数据内容。

    2. 在映射定义页签,单击“编辑”,设置机构属性的映射方式。
      说明:
      • 当映射定义的转换方式选择脚本转换时,脚本编写请参考如何开发映射脚本
      • 为了避免同步异常,建议添加的账号属性与需要映射的用户属性类型保持一致。
      表5 映射参数

      参数

      说明

      系统用户

      映射至应用账号的用户属性,可在下拉框选择。

      转换方式

      用户属性与应用账号之间的映射方式,可在下拉框选择。

      脚本表达式

      转换方式脚本转换时,填写具体的映射脚本。

      执行方式

      用户属性与应用账号之间映射的同步方式,可在下拉框选择。

      应用账号

      1中定义的账号属性。

    3. 在“常规配置”页签,“删除系统用户”默认配置为删除应用账号,“禁用系统用户”默认配置为禁用应用账号。单击“编辑”,可以修改配置,其中“删除系统用户”如果选择禁用或保留应用账号,由于用户已删除,账号会自动变更为孤儿账号;“禁用系统用户”可以改成保留应用账号。修改完成后,单击“保存”即可生效。

新增、修改、删除用户

本节主要介绍企业管理员在OneAccess管理门户同步用户的方法。

  • 新增用户

    选择“授权管理 > 应用账号”,单击“添加账号”,勾选需要同步的账号。如需根据授权策略同步账号,请参考修改应用配置中应用账号的授权策略。

  • 修改用户
    选择“用户 > 组织与用户”,在用户列表页面,鼠标放置在目标用户名右侧状态栏下方单击,弹出“编辑用户”弹框,更新用户信息。
    图2 编辑用户
  • 删除用户
    选择“用户 > 组织与用户”,在用户列表页面,单击某一用户后的,单击“删除”删除用户。
    图3 删除用户

新增、修改、删除组织

本节主要介绍企业管理员在OneAccess管理门户同步组织的方法。

说明:

同步机构的前提是开启应用机构,请参考7

  • 新增组织

    选择“授权管理 > 应用机构”,单击“授权策略”,单击开启机构自动授权,按照页面提示勾选需要同步的机构,单击“保存”,单击“执行新增”。

  • 修改组织
    选择“用户 > 组织与用户”,在组织列表页面,单击目标组织操作列的“编辑”,更新组织信息。
    图4 编辑组织
  • 删除组织
    选择“用户 > 组织与用户”,在组织列表页面,单击目标组织操作列的“删除”,删除组织。
    图5 删除组织

同步事件

当OneAccess向下游企业应用同步数据时,同步事件会记录同步的所有操作,方便您进行查看。

  1. 登录OneAccess管理门户。
  2. 在导航栏中,选择“资源 > 应用”。
  3. 在应用页面,单击某应用进入应用信息页面。
  4. 单击应用图标,默认进入该应用的通用信息页面。
  5. 在左侧导航栏选择“授权管理 > 同步事件”进入同步事件页面。可根据时间、操作类型、对象类型以及同步状态进行筛选查看同步记录。
    说明:

    对于同步失败的事件的处理:

    • 可以查看响应信息并在解决问题后,单击操作列的“重试”再次同步。
    • 可以通过“一键重试”快速执行同步。当父机构的同步事件重试成功后,会同时触发执行其下的子机构和账号的同步事件。

全量同步

当下游应用系统需与OneAccess的数据保持全量一致时,可通过全量同步实现。全量同步遵循以下规则:

  • 全量同步会忽视之前所有的同步事件,并生成新的同步事件,如果应用系统未返回id,则生成新增事件,如果应用系统已返回id,则生成更新事件。id说明可参考表2
    说明:

    全量同步触发的更新事件会同步映射定义配置的所有属性,普通的更新事件只同步变更的属性。

  • 当依赖的机构同步失败后,其子集包括子机构和账号的所有同步事件状态为挂起,此时,单击应用机构的“开始同步”后,会触发应用账号的全量同步,即应用账号的“开始同步”也处于运行状态。

本节主要介绍企业管理员在管理门户全量同步数据至应用系统的方法。

选择“同步集成 > 全量同步”,单击应用账号或者应用机构的“开始同步”即可。

同步状态说明

本节主要介绍同步完成后,各种状态的含义。方便您对异常状态进行排查定位。

以应用账号App_acc01、应用机构App_org01、原同步事件E0、新同步事件E1为例。

  • 待处理

    英文为“PENDING”,当应用账号App_acc01在生成新的同步事件E1时,如果该应用账号App_acc01之前的同步事件E0未执行完成,则生成的新事件E1的状态为待处理。

  • 排队

    英文为“QUEUING”,当应用账号App_acc01的同步事件E1可以执行时,会将该事件发送至Kafka执行消息队列,发送成功后,修改ES中存储的同步事件E1的状态为排队,表示该事件已成功加入执行队列。

  • 发送

    英文为“RUNNING”,当同步事件E1可执行时,在开始执行前将存储在ES中的同步事件E1的状态修改为RUNNING,修改成功后,调用下游应用系统的接口开始同步,表示该事件已成功处于运行状态。

  • 成功

    英文为“SUCCESS”,同步事件执行成功后,会将该事件的状态SUCCESS写入ES,表示该事件已执行成功。

  • 失败

    英文为“FAILURE”,同步事件执行失败后,会将该事件的状态FAILURE写入ES,表示该事件已执行失败。

  • 忽视

    英文为“IGNORED”,该状态涉及2种场景:

    • 当应用账号 App_acc01 在执行一个更新的同步事件时,如果发现后续有新的更新事件,则直接忽视该事件,并执行新的更新事件。
    • 执行全量同步时,会忽视之前所有的同步事件。
  • 略过

    英文为“SKIPPED”,该状态暂时未使用。

  • 挂起

    英文为“WAITING”,当应用账号App_acc01对应用机构App_org01存在依赖关系时,应用机构App_org01未同步成功,则该机构下应用账号App_acc01的所有同步事件状态为挂起。

提示

您即将访问非华为云网站,请注意账号财产安全

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容