基本概念

企业管理员

企业管理员包括主账号或拥有OneAccess管理权限的用户。企业管理员在OneAccess管理门户负责用户（组）、组织、应用及API等实体的管理。

超级管理员

超级管理员是主账号在OneAccess管理门户创建的管理员，拥有对企业所有组织结构、用户、应用及管理门户菜单的管理权限。超级管理员属于超级管理组，超级管理组拥有OneAccess管理门户的最高权限。

分级管理员

分级管理员由主账号或超级管理员在OneAccess管理门户创建，拥有对企业部分组织结构、用户、应用及管理门户菜单的管理权限。分级管理员不属于超级管理组，可以属于超级管理组下的分级管理组，也可以不属于任何管理组。

系统管理员

系统管理员由华为云主账号在统一身份认证服务中创建，拥有对企业所有组织结构、用户、应用及除创建管理员以外其他管理门户菜单的管理权限。系统管理员不属于任何管理组。

普通用户

普通用户是企业应用使用者，包含企业员工、合作伙伴、客户等。普通用户可以登录OneAccess用户门户访问和操作应用。

应用

应用是指在OneAccess上进行统一管理和授权的第三方系统。OneAccess的应用根据是否需要用户自集成分为预集成应用和自建应用。

• 预集成应用：OneAccess根据应用的开发接口或者相应协议提前进行预集成的应用，企业只需购买并完成基础配置即可使用。
• 自建应用：企业的自研应用或者不在预集成应用列表中的软件类或商业应用，企业还需要选择应用支持的认证协议、同步方式创建应用实例，进行应用集成开发。

身份源

OneAccess支持企业从多种系统导入用户和机构信息，实现将多个系统汇聚为一个完整的用户目录，便于在OneAccess中统一管理，这些系统就称为身份源。目前OneAccess支持的身份源有企业微信、钉钉、AD、LDAP、飞书、薪人薪事、北森HR、名才HR、SAP SuccessFactors和泛微OA_E9等。

认证源

OneAccess支持用户使用第三方系统的账号、密码等进行登录。企业可以根据需要添加并使用认证源，如微信、微博等个人社交认证，钉钉、企业微信等企业社交认证，也可以使用支持CAS、SAML2.0、OAuth2.0、OIDC协议的本地身份认证系统进行认证。

单点登录

单点登录（Single Sign-On，简称SSO）是指用户在OneAccess用户门户登录后，选择需要访问的可信应用，无需再次验证就可以使用应用。如：管理员在OneAccess管理门户添加华为云并授权给用户后，用户登录至OneAccess用户门户选择华为云，无需输入账号和密码即可跳转访问华为云。

外部应用接口

外部应用接口（Open API Platform，简称OAP）是OneAccess开放给第三方开发者使用的API接口，第三方开发者可以通过这些接口实现功能的定制，如：组织管理、用户管理、应用管理等。