普通用户登录用户门户并访问应用
- 在使用应用身份管理服务前,管理员需要参考购买实例购买实例。
- 管理员购买OneAccess实例后,参考管理员登录管理门户登录至OneAccess管理门户。
- 参考管理员添加组织添加组织。
- 管理员参考管理员添加用户在OneAccess管理门户添加用户。
- OneAccess平台提供了1000+预集成应用,同时提供自建应用功能,参考管理员添加应用并授权添加应用并授权。
- 登录OneAccess用户门户并直接进入应用,具体操作可参考普通用户登录用户门户并进入应用。
准备工作
- 注册华为云并实名认证。
如果您已有一个华为账户,请跳到下一个任务。如果您还没有华为账户,请参考以下步骤创建。
- 打开华为云官网,单击“注册”。
- 根据提示信息完成注册,详细操作请参见注册华为账号并开通华为云。
注册成功后,系统会自动跳转至您的个人信息界面。
- 参考实名认证完成个人或企业账号实名认证。
- 为账户充值。
- 关于OneAccess的价格,请参见应用身份管理服务价格详情。
- 关于充值,请参见如何给华为账户充值。
- 为用户添加操作权限。
用户在创建依赖资源和OneAccess前,需要具备相应的操作权限。具体权限请参考权限管理。
购买实例
- 进入购买应用身份管理服务页面。
- 在“购买应用身份管理服务”页面,配置实例参数。
- 在“区域”下拉框中选择区域。
- 在“规格选择”中选择实例规格,当前支持基础版、专业版和企业版三种,此处选择“基础版”。
- 选择“用户数”,此处选择100。
- 设置购买时长,默认勾选“自动续费”。
- 设置实例数量,取值为1~100之间的整数,此处选择1。
- 单击“下一步:确认配置”。
- 勾选“我已阅读并同意《OneAccess服务声明》”,单击“立即购买”,开始发放实例,实例创建完成,会自动生成用户访问域名。
管理员登录管理门户
- 登录华为云控制台。
- 在服务列表中选择“管理与监管 > 应用身份管理服务 OneAccess”,进入应用身份管理服务控制台。
- 单击待访问的OneAccess实例。
- 单击要访问的“实例名称”,进入OneAccess实例管理门户。
如您没有访问“实例名称”的权限,需要通过IAM用户访问OneAccess管理门户,则需要给IAM用户授予访问OneAccess管理门户的权限,具体操作请参考新增授权。
管理员添加组织
组织用于对企业人员进行管理,一个公司或部门可对应一个组织,将其拥有的人员集中在该组织下。顶层组织作为根节点,可以在其下添加多个子组织与用户,同时,在子组织下可继续添加多层组织与用户。添加组织后便于管理员更高效的管理企业人员。
- 管理员登录OneAccess管理门户。
- 在导航栏中,选择“用户 > 组织与用户”,进入组织与用户页面。
- 单击页面左下角的“
”,弹出“添加组织”窗口。 - 在“添加组织”弹窗中填写参数并单击“确定”,添加顶层组织。左侧组织导航中出现新添加的组织。
表1 组织信息 组织信息
说明
组织类型
组织的类型,有部门、单位、公司、集团四种类型。
组织编码
组织的唯一标识,全局不可重复。
组织名称
组织的名称,同一层级的组织名称不允许重复。
显示顺序
组织在同层级组织中的显示顺序。
上级组织
创建组织的上级组织,创建顶层组织时则置空。
- 单击“确定”,添加组织完成。
管理员添加用户
在OneAccess管理门户,可创建一人一组织,也可创建一人多组织的用户即一个用户可以属于多个组织。管理员在OneAccess管理门户添加用户,用户将拥有独立的OneAccess账号。
当创建的用户属于多组织时,如当用户属于组织A和B,且组织A有应用C的访问权限,组织B拥有应用D的访问权限,该用户同时拥有组织A和B的权限,则登录用户中心后,该用户便可以同时访问应用C和D。
- 登录OneAccess管理门户。
- 在导航栏中,选择“用户 > 组织与用户”进入组织与用户页面。
- 在组织与用户页面,选择“用户”页签。
- 单击“添加用户”,参考表2填写用户基本信息。
表2 基本信息 基本信息属性
属性含义
用户名
可通过修改用户属性设置该属性是否为必填,缺省用户名时,系统会自动生成用户名。可在修改用户属性中设置该属性输入的字符及长度要求。新建用户绑定的用户名不可与其他用户重复。用户名不区分大小写。
组织
可选择添加的用户所属的组织。可选择一个组织,也可同时选择多个组织,默认先选择的组织为主组织。添加组织可参考管理员添加组织。
说明:- 当先在左侧组织树选中组织,再单击“添加用户”时,则选中的组织默认为主组织。
- 用户最多只能拥有1个主组织和9个从组织。主从组织可以在用户名右侧单击
,选择“调整组织”,在“调整组织”弹框进行调整。
姓名
可通过修改用户属性设置该属性是否为必填及设置该属性输入的字符长度要求。
手机号
可通过修改用户属性设置该属性是否为必填及设置该属性输入的字符长度要求。手机号是唯一的,不可同其他用户重复。
邮箱
可通过修改用户属性设置该属性是否为必填及该属性输入的字符长度要求。邮箱是唯一的,不可同其他用户重复。
国家或地区
选择用户所在国家或地区。可通过修改用户属性设置该属性是否为必填。
城市
输入用户所在城市。可通过修改用户属性设置该属性是否为必填及设置该属性输入的字符长度要求。
- 用户可以使用此处设置的用户名、手机号或邮件地址任意一种方式登录用户门户。
- 当管理员管理用户密码时,可以通过此处绑定的邮件地址或手机号管理密码。
- 当用户忘记密码时,可以通过此处绑定的邮件地址或手机号自行重置密码。
- 建议设置“密码”,方便在未开启其他认证方式前,用户可以通过密码方式正常访问用户门户。
- 单击
开启密码登录。当前密码登录有两种方式,此处选择“自定义”。
- 自定义,可自定义设置用户登录密码。
- 勾选“首次登录时修改密码”时,则自定义设置的用户登录密码,在首次登录用户管理门户时,需要修改登录密码。
- 不勾选“首次登录时修改密码”时,则自定义设置的用户登录密码,在首次登录用户管理门户时,不需要修改登录密码。
- 自动生成,系统根据密码初始化配置通知用户初始密码,用户需在有效期内完成登录。若还未开启初始化密码配置的,请参考密码初始化设置进行设置。
- 自定义,可自定义设置用户登录密码。
- 单击“确定”,用户添加完成,用户列表中显示已添加的用户。
管理员添加应用并授权
管理员在OneAccess添加需要统一管理的应用。该操作步骤以添加SAML协议的应用为例,添加其他协议的应用请参考集成企业应用。
- 管理员登录OneAccess管理门户。
- 在导航栏中,选择“资源 > 应用”。
- 单击预集成应用下的“新增预集成应用”。
- 在新增预集成应用页面,搜索并选择需要添加的应用。
- 在添加应用页面,编辑通用信息。
表3 通用信息 参数
说明
应用LOGO
上传图片文件大小不超过50K。
应用名称
必填,支持自定义。
认证集成方式
应用的认证集成方式按照应用配置预集成,不可修改。
同步集成方式
应用的同步集成方式按照应用配置预集成,不可修改。
- 单击“下一步”,在认证参数配置页面,导入预集成应用的元数据。
- 认证参数配置可以采用导入和手动输入两种方式。为了避免输入错误,建议使用导入方式。
- 元数据需从企业应用处获取。
- 配置完成后,单击“下一步”,应用添加完成。
- 单击“进入应用”,进入应用信息页面。
- 在应用信息页面,在“对象模型 ”区域,单击“应用机构”后的
,在弹出框中单击“确定”打开应用机构配置。 - 在应用信息页面,单击“授权管理 > 应用机构”后的“授权”,进入应用机构页面。
- 单击“授权策略”,打开授权策略弹窗。
- 单击
开启机构自动授权,并勾选自定义选择机构。 - 选择需要授权的机构,依次单击“保存”和“执行新增”,应用机构新增成功。
- 单击左侧导航的“授权管理 > 应用账号”,进入应用账号页面。
- 单击“添加账号”。
- 勾选管理员添加用户中添加的用户,授予该用户应用访问权限,单击“保存”,应用账号新增成功。
为用户授权将自动为用户创建应用账号。
普通用户登录用户门户并进入应用
用户从管理员处获取用户访问域名,并登录OneAccess用户门户。
- 用户从管理员处获取“用户访问域名”。
“用户访问域名”由管理员在购买OneAccess实例时配置,在OneAccess管理控制台获取。如:example.huaweioneaccess.com。
- 用户访问“用户访问域名”,进入用户门户登录页面。
- 输入用户名和密码,单击“登录”,进入用户门户首页。
- 单击管理员添加应用并授权中添加的应用,进入应用系统。
