Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Identity and Access Management/ Referência de API/ API/ Gerenciamento de tokens/ Obtenção de um token de usuário por meio de senha e autenticação de MFA virtual
Atualizado em 2024-08-31 GMT+08:00

Obtenção de um token de usuário por meio de senha e autenticação de MFA virtual

Função

Essa API é fornecida para que os usuários do IAM obtenham um token por meio de nome de usuário/senha e autenticação de MFA virtual. Para usar essa API, certifique-se de que a proteção de logon virtual baseada em MFA tenha sido ativada para o usuário do IAM. Um token é uma credencial de acesso emitida para um usuário para suportar sua identidade e permissões. Ao chamar as APIs do IAM ou de outros serviços de nuvem, você pode usar essa API para obter um token para autenticação.

A API pode ser chamada usando o ponto de extremidade global e pontos de extremidade da região específica. Para pontos de extremidade do IAM, consulte Regiões e pontos de extremidade.

Links rápidos

Obtenção de um token como um usuário do IAM

Obtenção de um token usando uma conta principal

Obtenção de um token usando uma HUAWEI ID

Obtenção de um token usando uma conta da Huawei Cloud

Obtenção de um token como usuário de sistema de terceiros

Período de validade de um token

Perguntas frequentes sobre a obtenção de um token

Operações relacionadas

  • Obtenção de um token como um usuário do IAM

    Consulte Parâmetros de solicitação.

  • Obtenção de um token usando uma conta

    Verifique se a sua conta foi atualizada da conta da Huawei Cloud para a HUAWEI ID consultando Como saber com qual conta estou conectado?

  • Obtenção de um token usando uma HUAWEI ID

    Você não pode usar diretamente uma HUAWEI ID para obter um token. Você precisa criar um usuário do IAM, atribuir permissões ao usuário e usar o usuário para obter um token.

  • Obtenção de um token usando uma conta da Huawei Cloud

    Consulte Parâmetros de solicitação.

  • Obtenção de um token como usuário de sistema de terceiros

    Se você for usuário de um sistema de terceiros, não poderá obter um token usando o nome de usuário e a senha que usa para autenticação de identidade federada. Em vez disso, você deve acessar a página de logon da Huawei Cloud, clicar em Forgot password, clicar em Reset Huawei Cloud account password e definir uma senha.

  • Período de validade de um token
    • O período de validade de um token é de 24 horas. Armazene em cache o token para evitar chamadas frequentes de API. Certifique-se de que o token seja válido enquanto você o estiver usando. Usar um token que expirará em breve pode causar falhas de chamada de API. A obtenção de um novo token não afeta a validade do token existente.
    • O token se tornará inválido em 30 minutos se ocorrer uma das situações a seguir:
      • O usuário do IAM é excluído ou desativado.
      • A senha ou chave de acesso do usuário do IAM é alterada.
      • As permissões do usuário do IAM são alteradas (devido a pagamentos pendentes, aprovação de aplicação de OBT ou modificação de permissão).
    • Se The token must be updated for retornado quando um token for usado para chamar uma API de serviço de nuvem, o token expirou. Você precisa obter um novo token.
  • Perguntas frequentes sobre a obtenção de um token

    Nome de usuário ou senha incorretos: verifique se o nome de usuário e a senha digitados estão corretos. Se o nome de usuário e a senha estiverem corretos, mas o erro persistir, verifique se você usou uma HUAWEI ID para obter um token. Uma HUAWEI ID não pode ser usada diretamente para obter um token. Você precisa criar um usuário do IAM, conceder permissões ao usuário e usar o usuário para obter um token.

    Sem permissões de acesso à API: antes de chamar uma API, certifique-se de que você ativou o acesso programático.

URI

POST /v3/auth/tokens

Tabela 1 Parâmetros de consulta

Parâmetro

Obrigatório

Tipo

Descrição

nocatalog

Não

String

Se este parâmetro for definido, nenhuma informação de catálogo será exibida na resposta. Qualquer cadeia de caracteres definida para esse parâmetro indica que nenhuma informação de catálogo será exibida.

Parâmetros de solicitação

Tabela 2 Parâmetros no cabeçalho da solicitação

Parâmetro

Obrigatório

Tipo

Descrição

Content-Type

Sim

String

Preencha application/json;charset=utf8 nesse campo.

Tabela 3 Parâmetros no corpo da solicitação

Parâmetro

Obrigatório

Tipo

Descrição

auth

Sim

Object

Informações de autenticação.

Tabela 4 auth

Parâmetro

Obrigatório

Tipo

Descrição

identity

Sim

Object

Parâmetros de autenticação.

scope

Sim

Object

Escopo de aplicação do token. O valor pode ser project ou domain.

NOTA:
  • Se o scope for definido como domain, o token será aplicado aos serviços globais. Se o scope estiver definido como project, o token será aplicado aos serviços no nível do projeto.
  • Se o scope estiver definido como project e domain, o projeto será usado e você receberá um token para serviços no nível do projeto.
  • Se o scope for deixado em branco, você receberá um token para serviços globais. É aconselhável especificar este parâmetro.
Tabela 5 auth.identity

Parâmetro

Obrigatório

Tipo

Descrição

methods

Sim

Array of strings

Método de autenticação.

Opções:

  • password
  • totp

password

Sim

Object

Informações de autenticação de senha de usuário do IAM.

NOTA:

totp

Sim

Object

Informações de autenticação. Este parâmetro é obrigatório somente quando a autenticação de logon baseada em MFA virtual está ativada.

Tabela 6 auth.identity.password

Parâmetro

Obrigatório

Tipo

Descrição

user

Sim

Object

Informações sobre o usuário do IAM que está solicitando a obtenção de um token.

Tabela 7 auth.identity.password.user

Parâmetro

Obrigatório

Tipo

Descrição

domain

Sim

Object

Informações sobre a conta usada para criar o usuário do IAM. Para obter detalhes sobre a relação entre contas e usuários do IAM, consulte Relação entre uma conta e seus usuários de IAM.

name

Sim

String

Nome de usuário do IAM.

password

Sim

String

Senha do usuário do IAM.

NOTA:
  • Para obter um token com sucesso, verifique se a senha fornecida está correta.
  • Se você for usuário de um sistema de terceiros, não poderá obter um token usando o nome de usuário e a senha que usa para autenticação de identidade federada. Vá para a página de logon da Huawei Cloud, clique em Forgot password e Reset Huawei Cloud account password e defina uma nova senha.
Tabela 8 auth.identity.password.user.domain

Parâmetro

Obrigatório

Tipo

Descrição

name

Sim

String

Nome da conta. Para obter detalhes sobre como obter o nome da conta, consulte Obtenção de informações sobre conta, usuário do IAM, grupo, projeto, região e agência.

Tabela 9 auth.identity.totp

Parâmetro

Obrigatório

Tipo

Descrição

user

Sim

Object

Informações do usuário do IAM. Certifique-se de que a proteção de logon baseada em MFA virtual tenha sido ativada para o usuário do IAM. Para obter detalhes, consulte Operações críticas.

Tabela 10 auth.identity.totp.user

Parâmetro

Obrigatório

Tipo

Descrição

id

Sim

String

ID do usuário do IAM para o qual a proteção de logon baseada em MFA virtual foi ativada.

passcode

Sim

String

Código de verificação de MFA, que pode ser obtido do dispositivo de MFA virtual vinculado ao usuário do IAM. Para obter detalhes, consulte Como obter os códigos de verificação de MFA?

NOTA:

Para obter um token com sucesso, verifique se o código de verificação fornecido está correto.

Tabela 11 auth.scope

Parâmetro

Obrigatório

Tipo

Descrição

domain

Não

Object

Se esse campo estiver definido como domain, o token poderá ser usado para acessar serviços globais, como o OBS. Os serviços globais não estão sujeitos a nenhum projeto ou região. Para obter detalhes sobre o escopo do serviço, consulte Permissões do sistema. Você pode especificar id ou name. O domain.id é recomendado.

project

Não

Object

Se esse campo estiver definido como project, o token poderá ser usado para acessar apenas serviços em projetos específicos, como o ECS. Para obter detalhes sobre o escopo do serviço, consulte Permissões do sistema. Você pode especificar id ou name.

Tabela 12 auth.scope.domain

Parâmetro

Obrigatório

Tipo

Descrição

id

Não

String

ID da conta. Para obter detalhes sobre como obter o ID da conta, consulte Obtenção de informações sobre conta, usuário do IAM, grupo, projeto, região e agência.

name

Não

String

Nome da conta. Para obter detalhes sobre como obter o nome da conta, consulte Obtenção de informações sobre conta, usuário do IAM, grupo, projeto, região e agência.

Tabela 13 auth.scope.project

Parâmetro

Obrigatório

Tipo

Descrição

id

Não

String

ID do projeto. Para obter detalhes sobre como obter o ID do projeto, consulte Obtenção de informações sobre conta, usuário do IAM, grupo, projeto, região e agência.

name

Não

String

Nome do projeto. Para obter detalhes sobre como obter o nome do projeto, consulte Obtenção de informações sobre conta, usuário do IAM, grupo, projeto, região e agência.

Exemplo de solicitação

  • Exemplo 1: solicitação para obter um token para o usuário do IAM IAMUser (senha: IAMPassword; nome da conta: IAMDomain; escopo: domain). Você pode obter o nome do usuário e da conta do IAM na página My Credential do console. Para mais detalhes, consulte Obtenção de informações sobre conta, usuário do IAM, grupo, projeto, região e agência.
    POST https://iam.myhuaweicloud.com/v3/auth/tokens
    {
        "auth": {
            "identity": {
                "methods": [
                    "password",
                    "totp"
                ],
                "password": {
                    "user": {
                        "name": "IAMUser",                            // IAM user name.
                        "password": "IAMPassword",                   // IAM user password.
                        "domain": {
                            "name": "IAMDomain"                      // Name of the account to which the IAM user belongs.
                        }
                    }
                },
                "totp": {
                    "user": {
                        "id": "7116d09f88fa41908676fdd4b039e...",  // IAM user ID.
                        "passcode": "******"                           // Virtual MFA verification code.
                    }
                }
            },
            "scope": {
                "domain": {
                    "name": "IAMDomain"                                 // Name of the account to which the IAM user belongs.
                }
            }
        }
    }
  • Exemplo 2: solicitação para obter um token para o usuário do IAM IAMUser (senha: IAMPassword; nome da conta: IAMDomain; escopo: projeto ap-southeast-1) sem exibir informações de catálogo na resposta. Você pode obter o nome do usuário e da conta do IAM na página My Credential do console. Para mais detalhes, consulte Obtenção de informações sobre conta, usuário do IAM, grupo, projeto, região e agência.
    POST https://iam.myhuaweicloud.com/v3/auth/tokens?nocatalog=true
    {
        "auth": {
            "identity": {
                "methods": [
                    "password",
                    "totp"
                ],
                "password": {
                    "user": {
                        "name": "IAMUser",                            // IAM user name.
                        "password": "IAMPassword",                   // IAM user password.
                        "domain": {
                            "name": "IAMDomain"                      // Name of the account to which the IAM user belongs.
                        }
                    }
                },
                "totp": {
                    "user": {
                        "id": "7116d09f88fa41908676fdd4b039e...",  // IAM user ID.
                        "passcode": "******"                           // Virtual MFA verification code.
                    }
                }
            },
            "scope": {
                "project": {
                    "name": "ap-southeast-1"                                //Project name
                }
            }
        }
    }

Parâmetros de resposta

Tabela 14 Parâmetros no cabeçalho da resposta

Parâmetro

Tipo

Descrição

X-Subject-Token

String

Token assinado.

Tabela 15 Parâmetros no corpo da resposta

Parâmetro

Tipo

Descrição

token

Object

Informações do token.

Tabela 16 token

Parâmetro

Tipo

Descrição

catalog

Array of objects

Informações do catálogo.

domain

Object

Informações da conta do usuário do IAM que solicita o token. Este parâmetro é retornado somente quando o parâmetro scope no corpo da solicitação foi definido como domain.

expires_at

String

Hora em que o token expirará.

NOTA:

O valor é uma hora UTC no formato AAAA-MM-DDTHH:mm:ss.ssssssZ, por exemplo, 2023-06-28T08:56:33.710000Z. Para obter detalhes sobre os formatos de data e carimbo de data/hora, consulte ISO-8601.

mfa_authn_at

String

Tempo de autenticação MFA.

NOTA:

O valor é uma hora UTC no formato AAAA-MM-DDTHH:mm:ss.ssssssZ, por exemplo, 2023-06-28T08:56:33.710000Z. Para obter detalhes sobre os formatos de data e carimbo de data/hora, consulte ISO-8601.

issued_at

String

Hora em que o token foi emitido.

NOTA:

O valor é uma hora UTC no formato AAAA-MM-DDTHH:mm:ss.ssssssZ, por exemplo, 2023-06-28T08:56:33.710000Z. Para obter detalhes sobre os formatos de data e carimbo de data/hora, consulte ISO-8601.

methods

Array of strings

Método para obter o token.

project

Object

Informações do projeto do usuário do IAM. Este parâmetro é retornado somente quando o parâmetro scope no corpo da solicitação foi definido como project.

roles

Array of objects

Informações de permissões do token.

user

Object

Informações sobre o usuário do IAM que solicita o token.

Tabela 17 token.catalog

Parâmetro

Tipo

Descrição

endpoints

Array of objects

Informações do ponto de extremidade.

id

String

ID do serviço.

name

String

Nome do serviço.

type

String

Tipo do serviço ao qual a API pertence.

Tabela 18 token.catalog.endpoints

Parâmetro

Tipo

Descrição

id

String

ID do ponto de extremidade.

interface

String

Visibilidade da API. public indica que a API está disponível para acesso público.

region

String

Região à qual o ponto de extremidade pertence.

region_id

String

ID da região.

url

String

URL do ponto de extremidade.

Tabela 19 token.domain

Parâmetro

Tipo

Descrição

name

String

Nome da conta.

id

String

ID da conta.

Tabela 20 token.project

Parâmetro

Tipo

Descrição

domain

Object

Informações da conta do projeto.

id

String

ID do projeto.

name

String

Nome do projeto.

Tabela 21 token.project.domain

Parâmetro

Tipo

Descrição

id

String

ID da conta.

name

String

Nome da conta.

Tabela 22 token.roles

Parâmetro

Tipo

Descrição

name

String

Nome de permissão.

id

String

ID de permissão. O valor padrão é 0, que não corresponde a nenhuma permissão.

Tabela 23 token.user

Parâmetro

Tipo

Descrição

name

String

Nome de usuário do IAM.

id

String

ID do usuário do IAM.

password_expires_at

String

Tempo de expiração da senha. Se este parâmetro não for especificado, a senha nunca expirará.

NOTA:

O valor é uma hora UTC no formato AAAA-MM-DDTHH:mm:ss.ssssssZ, por exemplo, 2023-06-28T08:56:33.710000Z. Para obter detalhes sobre os formatos de data e carimbo de data/hora, consulte ISO-8601.

domain

Object

Informações sobre a conta usada para criar o usuário do IAM.

Tabela 24 token.user.domain

Parâmetro

Tipo

Descrição

name

String

Nome da conta usada para criar o usuário do IAM.

id

String

ID da conta à qual o usuário do IAM pertence.

Exemplo de resposta

Código de status: 201

A solicitação foi bem-sucedida.

  • Exemplo 1: resposta à solicitação de obtenção de um token para o usuário do IAM IAMUser (senha: IAMPassword; nome da conta: IAMDomain; escopo: domain)
    Parameters in the response header (obtained token)
    X-Subject-Token:MIIatAYJKoZIhvcNAQcCoIIapTCCGqECAQExDTALB...
    Parameters in the response body
    {
        "token": {
            "expires_at": "2020-01-04T09:08:49.965000Z",
            "mfa_authn_at": "2020-01-03T09:08:49.965000Z",
            "methods": [
                "password",
                "totp"
            ],
            "catalog": [
                {
                    "endpoints": [
                        {
                            "id": "33e1cbdd86d34e89a63cf8ad16a5f...",
                            "interface": "public",
                            "region": "*",
                            "region_id": "*",
                            "url": "https://iam.myhuaweicloud.com/v3.0"
                        }
                    ],
                    "id": "100a6a3477f1495286579b819d399...",
                    "name": "iam",
                    "type": "iam"
                },
                {
                    "endpoints": [
                        {
                            "id": "29319cf2052d4e94bcf438b55d143...",
                            "interface": "public",
                            "region": "*",
                            "region_id": "*",
                            "url": "https://bss.sample.domain.com/v1.0"
                        }
                    ],
                    "id": "c6db69fabbd549908adcb861c7e47...",
                    "name": "bssv1",
                    "type": "bssv1"
                }
            ],
            "domain": {
                "id": "d78cbac186b744899480f25bd022f...",
                "name": "IAMDomain"
            },
            "roles": [
                {
                    "id": "0",
                    "name": "te_admin"
                },
                {
                    "id": "0",
                    "name": "secu_admin"
                },
                {
                    "id": "0",
                    "name": "te_agency"
                }
            ],
            "issued_at": "2020-01-03T09:08:49.965000Z",
            "user": {
                "domain": {
                    "id": "d78cbac186b744899480f25bd022f...",
                    "name": "IAMDomain"
                },
                "id": "7116d09f88fa41908676fdd4b039e...",
                "name": "IAMUser",
                "password_expires_at": ""
            }
        }
    }
  • Exemplo 2: resposta à solicitação de obtenção de um token para o usuário do IAM IAMUser (senha: IAMPassword; nome da conta: IAMDomain; escopo: projeto ap-southeast-1) sem exibir informações de catálogo na resposta
    Parameters in the response header (obtained token)
    X-Subject-Token:MIIatAYJKoZIhvcNAQcCoIIapTCCGqECAQExDTALB...
    Parameters in the response body
    {
        "token": {
            "expires_at": "2020-01-04T09:05:22.701000Z",
            "mfa_authn_at": "2020-01-03T09:05:22.701000Z",
            "methods": [
                "password",
                "totp"
            ],
            "catalog": [],
            "roles": [
                {
                    "id": "0",
                    "name": "te_admin"
                },
                {
                    "id": "0",
                    "name": "op_gated_OBS_file_protocol"
                },
                {
                    "id": "0",
                    "name": "op_gated_Video_Campus"
                }
            ],
            "project": {
                "domain": {
                    "id": "d78cbac186b744899480f25bd022f...",
                    "name": "IAMDomain"
                },
                "id": "aa2d97d7e62c4b7da3ffdfc11551f...",
                "name": "ap-southeast-1"
            },
            "issued_at": "2020-01-03T09:05:22.701000Z",
            "user": {
                "domain": {
                    "id": "d78cbac186b744899480f25bd022f...",
                    "name": "IAMDomain"
                },
                "id": "7116d09f88fa41908676fdd4b039e...",
                "name": "IAMUser",
                "password_expires_at": ""
            }
        }
    }

Código de status: 400

Parâmetros inválidos.

{
    "error": {
        "code": 400,
        "message": "The request body is invalid",
        "title": "Bad Request"
    }
}

Código de status: 401

Falha na autenticação.

  • Se você for usuário de um sistema de terceiros, não poderá obter um token usando o nome de usuário e a senha que usa para autenticação de identidade federada. Vá para a página de logon da Huawei Cloud, clique em Forgot password e Reset Huawei Cloud account password e defina uma nova senha.
  • Se a sua conta da Huawei Cloud tiver sido atualizada para uma HUAWEI ID, você não poderá obter um token usando a HUAWEI ID. Em vez disso, você pode criar um usuário do IAM, conceder as permissões necessárias ao usuário e obter um token como o usuário.
{
    "error": {
        "code": 401,
        "message": "The username or password is wrong.",
        "title": "Unauthorized"
    }
}

Códigos de status

Código de status

Descrição

201

A solicitação foi bem-sucedida.

400

Parâmetros inválidos.

401

Falha na autenticação.

403

Acesso negado.

404

O recurso solicitado não pode ser encontrado.

500

Erro de servidor interno.

503

Serviço indisponível.

Códigos de erro

Nenhum