设置_应用身份管理服务 OneAccess_用户指南_普通用户指南_华为云

(1)

用户指南

文档版本 01

发布日期 2021-03-25

(2)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司

地址：深圳市龙岗区坂田华为总部办公楼邮编：518129

网址： https://www.huawei.com

客户服务邮箱：[email protected] 客户服务电话：4008302118

(3)

1 ^{使用前必读}

OneAccess 使用对象

● 企业管理员：主账号或拥有OneAccess管理权限的用户。企业管理员负责用户

（组）、组织、应用、及API等实体的管理。如果您是企业管理员，请参考企业管理员指南使用OneAccess。

● 普通用户：企业应用使用者，包含企业员工、合作伙伴、客户等。普通用户可以登录OneAccess平台访问应用。如果您是普通用户，请参考普通用户指南使用 OneAccess。

(6)

2 ^{企业管理员指南}

登录OneAccess 用户管理资源管理认证管理安全审计设置

2.1 登录 OneAccess

本文介绍管理员如何在开通OneAccess服务后，登录到OneAccess的管理门户。

前提条件

● 请确保您已注册华为云账号并实名认证。

● 请确保您已购买实例。

如未完成以上任务，请参考：管理员购买实例。

操作步骤

步骤1 登录华为云控制台。

步骤2 在服务列表中选择“管理与监管 > 应用身份管理服务 OneAccess”，进入应用身份管理服务控制台。

步骤3 在控制台页面，单击要访问的“实例名称”，进入OneAccess管理门户。

(7)

图2-1 单击实例名称

----结束

2.2 用户管理

2.2.1 用户

在OneAccess管理门户，您可以进行添加、编辑、修改、删除用户等操作。

如果需要添加大量用户，建议采用身份源同步、数据导入的方式批量添加。

● 身份源同步：从身份源同步用户数据到OneAccess，在高级配置中可以对同步的处理逻辑进行灵活配置，实现将上游身份源数据同步至OneAccess。具体可参考：身份源管理。

● 数据导入：将用户信息按照模板进行整理，并将其导入OneAccess，即可批量导入用户。具体可参考：导入用户。

添加用户

步骤1 登录OneAccess管理门户。

步骤2 在导航栏中，选择“用户 > 组织与用户”。

图2-2 组织与用户

步骤3 在组织与用户页面，选择“用户”页签。

步骤4 在左侧组织树中，选择需要添加用户的组织，并单击“添加用户”，填写用户基本信息。添加组织可参考：添加组织。

(8)

图2-3 添加用户

说明

● 缺省用户名时，系统会自动生成用户名。

● 新建用户绑定的用户名、手机号和邮箱不可与其他用户重复。

● 用户可以使用此处设置的用户名、手机号或邮件地址任意一种方式登录用户门户。

● 当管理员重置用户密码时，可以通过此处绑定的邮件地址或手机号重置密码。

● 当用户忘记密码时，可以通过此处绑定的邮件地址或手机号自行重置密码。

● 建议设置“密码”，方便在未开启其他认证方式前，用户可以通过密码方式正常访问用户门户。

● 用户信息包含基本属性和扩展属性，所有属性均可以通过用户属性定义进行设置，具体可参考：用户属性定义。

步骤5 单击“确定”，用户添加完成，用户列表中显示已添加的用户。

----结束

查看用户详情

在用户列表中，单击用户名，可以查看用户详情。包括用户信息、所属用户组、已授权应用和审计日志。

● 用户信息

包含用户基本属性和扩展属性信息。

● 所属用户组

– 用户所属用户组信息，包括用户组名称、用户组授权应用、组织路径。

– 单击用户组列表右上方的“加入组”，勾选需要加入的用户组，即可将用户加入用户组，您还可以通过用户加入用户组操作完成。如果应用开启了基于用户组的自动授权策略，将用户加入已授权的用户组，会同步至应用侧，具体可参考：▪授权策略。

图2-4 加入组

– 单击操作列的“删除”，可将用户从该用户组中删除。

如果应用开启了基于用户组的自动授权策略，将删除已授权用户组中的用户，会同步至应用侧，具体可参考：▪授权策略。

(9)

图2-5 删除用户组中的用户

● 已授权应用

– 用户在已授权应用中的信息，包括应用图标、应用名称、应用账号等。

– 单击已授权应用列表右上方的“应用授权”，勾选需要授权的应用，即可为用户进行应用授权，您还可以通过为用户授予应用的使用权限操作完成。

图2-6 应用授权

– 如果应用开启了应用侧权限，单击操作列的“应用侧角色/权限”，可对该用户进行授权，在该处授权的操作方法与在应用账号处类似，可参考：▪应用侧角色/权限。应用侧权限的配置可参考：应用侧权限。

– 单击操作列的“删除”，可取消对该用户的授权。

● 审计日志

审计日志记录了企业管理员与用户的操作记录，包括▪管理员日志、▪用户日志。

– 管理员日志

通过管理员日志可以查看管理员对该用户的操作，如修改密码、应用授权等。同时，可根据条件过滤。

– 用户日志

通过用户日志可以查看用户访问用户中心和应用的操作，如SSO登录、登出等。同时，可根据条件过滤。

编辑用户信息

在用户列表中，单击用户右侧的“编辑”，可以修改用户的基本属性和扩展属性。

图2-7 编辑用户

(10)

为用户授予应用的使用权限

步骤1 在用户列表中，单击右侧的 “应用授权”。如需添加应用，可参考：集成企业应用。

图2-8 应用授权

步骤2 在用户详情页面，单击右侧的“应用授权”。

图2-9 应用授权

步骤3 在应用授权页面，勾选需要授权的应用，单击“保存”，完成用户授权。在已选应用列表中，可编辑应用账号，如需编辑应用账号的其他属性，单击应用名称，进入应用账号信息页面，即可编辑。系统默认用户名为应用账号名。如需在应用中对用户授权，请参考：授权管理。

图2-10 在已选应用列表中编辑应用账号

----结束

修改用户所属组织

步骤1 在用户列表中，单击用户操作列的“更多 > 调整组织”。

(11)

图2-11 调整组织

步骤2 在组织选择页面，单击您要转移的目标组织。

步骤3 单击“确定”，完成修改。

说明

如果应用开启了用户自动授权功能，修改用户所属组织会修改用户的应用访问权限。具体可参考：▪授权策略。

----结束

用户加入用户组

步骤1 在用户列表中，单击“更多 > 用户组”。

图2-12 用户组

步骤2 在用户详情页面，单击右侧的“加入组”。

图2-13 加入组

(12)

步骤3 在选择用户组页面，勾选需要加入的用户组，单击“保存”，即可将用户加入用户组。单击操作列的“删除”，可将用户从该用户组中删除。

----结束

修改用户密码

步骤1 在用户列表中，单击“更多 > 修改密码”。

图2-14 修改密码

步骤2 输入新密码并确认密码。如果勾选强制修改密码，用户在使用新密码首次登录用户门户时，会强制要求用户修改密码。

步骤3 点击“确定”，完成密码修改。

----结束

重置用户密码

当重置用户密码后，根据您选择的通知方式，用户会收到重置密码的邮件、短信或钉钉通知类消息，用户使用新密码可以登录用户门户。短信、邮件、钉钉通知类消息三种方式类似，以短信为例。

说明

● 重置密码后，用户以密码方式首次登录用户门户时，会强制要求修改密码。

● 如果您需要使用邮件方式通知用户，请配置邮件网关，具体方法请参考：邮件网关配置。

● 如果您需要使用钉钉方式通知用户，请配置钉钉网关，具体方法请参考：钉钉网关配置。

步骤1 在用户列表中，单击“更多 > 重置密码”。

(13)

图2-15 重置密码

步骤2 在重置密码窗口中，选择通知方式为“短信”。

图2-16 选择“短信”

步骤3 单击“重置”，页面提示保存成功。用户收到短信后，可使用重置后的密码登录用户门户。

----结束

启用/禁用用户

启用、禁用用户方法类似，以禁用用户为例。

注意

请谨慎禁用用户，禁用以后该用户将无法访问用户门户。

步骤1 在用户列表中，单击目标用户状态列的“ ”。对于新创建的用户，用户状态默认为启用。

(14)

图2-17 禁用用户

步骤2 在提示窗口中，单击“确定”，页面提示禁用成功。

----结束

删除用户

在用户列表中，选择“更多 > 删除”，单击“确定”，删除用户。

注意

请谨慎删除用户，删除以后该用户无法访问用户门户，如有需要请再次添加，具体可参考：添加用户。

图2-18 删除用户

2.2.2 组织

在OneAccess管理门户，您可以创建组织，并将用户加入到相应的组织中，实现用户批量管理和授权。同时，可以根据需要添加、修改、移动、删除组织。基于组织的授权请参考：▪授权策略。

如果您需要添加大量的组织，建议采用身份源同步、数据导入的方式批量添加。

● 身份源导入：从身份源同步组织信息到OneAccess，在高级配置中可以对同步的处理逻辑进行灵活配置，实现将上游组织数据同步至OneAccess。具体可参考：

身份源管理。

● 数据导入：将组织信息按照模板进行整理，并将其导入OneAccess，即可批量导入组织。具体可参考：组织导入。

(15)

添加组织

组织为树状结构，您可以添加顶层组织，也可以添加子组织。

步骤2 在导航栏中，单击“用户 > 组织与用户”。

步骤3 在组织与用户页面，选择“组织”页签。

步骤4 在组织列表页面，单击“添加组织”。如果在左侧组织树上选中上级组织，则添加的是子组织。

说明

● 在组织与用户页面，单击左下方的“+”可快速添加顶层组织。

● 在左侧组织树上，选择组织右侧的“ > 添加子组织”，如图2-21，可快速为其添加子组织。

图2-20 添加组织

图2-21 添加子组织

步骤5 在添加组织页面，输入组织信息。

(16)

表2-1 组织信息 组织信息说明

* 组织编码

组织的唯一标识，不可与其他组织重复。

* 组织名称

组织的名称，同一层级的组织名称不允许重复。

显示顺序组织在组织树中的显示位置，系统默认添加到本层次最后面，可修改。

上级组织 ● 当添加顶层组织时，默认为顶层组织。

● 当添加子组织时，默认为选择的上级组织。

步骤6 单击“确定”，添加组织完成。组织列表中显示已添加的组织。

----结束

查看组织详情

在组织列表中，单击需要查看的组织编码，可以查看组织的审计日志。通过审计日志可以查看管理员对该组织的操作，如创建、修改等。同时，可根据条件过滤。

编辑组织信息

在组织列表中，单击组织右侧的“编辑”，可以修改组织的编码、名称和显示顺序。

不支持修改组织的上级组织，如果您需要调整组织的上级组织，可通过移动组织完成。具体可参考：移动组织。

图2-22 编辑组织

在左侧组织树上，选择组织右侧的“ > 编辑组织”，如图2-23，可快速编辑组织。

(17)

图2-23 编辑组织

移动组织

您可以通过移动组织修改组织的上级组织。如果应用开启了用户自动授权功能，移动组织将同步修改组织中用户的应用访问权限。具体可参考：▪授权策略。

在左侧组织树上，选择组织右侧的“ > 移动组织”，如图2-24，可快速移动组织。

图2-24 移动组织

步骤1 在组织列表中，单击组织右侧的“移动”，弹出“组织选择”页面。

图2-25 移动组织

步骤2 在组织选择页面，选择上级组织。如果需要将子组织设为顶层组织，单击“设为根组织”即可。

步骤3 单击“确定”，完成组织移动。

----结束

(18)

删除组织

● 在组织列表中，单击组织右侧的“删除”，单击“确定”，删除成功。

● 组织删除后，不可恢复，请谨慎操作。

● 当组织下存在用户、用户组或子组织时，会删除失败，需要将其子集删除成功以后，方可对其执行删除操作。

图2-26 删除组织

2.2.3 用户组

在OneAccess管理门户，可以建立用户组，并将用户加入到相应的用户组中，基于用户组对用户进行管理和授权。同时，可以根据需要添加、编辑、删除用户组等。基于用户组的授权请参考：▪授权策略。

添加用户组

步骤2 在导航栏中，单击“用户 > 组织与用户”。

步骤3 在左侧组织树上，选中需要添加用户组的组织，单击右侧的“用户组”页签。

步骤4 在用户组列表页面，单击“添加用户组”。

图2-28 添加用户组

(19)

步骤5 在“添加用户组”页面，输入名称、描述。

步骤6 单击“确定”，用户组添加完成，用户组列表中显示已添加的用户组。

----结束

查看用户组详情

在用户组列表中，单击用户组名称，可以查看用户组详情，包括•管理成员、•已授权应用和•审计日志。

● 管理成员

– 包含用户组中用户的信息，如用户名、手机号、邮箱等。

– 单击用户组成员列表右上方“添加成员”，勾选需要加入的用户，即可将用户加入用户组。您还可以通过为用户组添加用户操作完成。

图2-29 添加成员

– 单击操作列的“删除”，可将用户从该用户组中删除。

● 已授权应用

– 用户组在已授权应用中的信息，包括应用图标、应用名称等。

– 单击应用操作列的“删除”后，应用中应用账号的授权策略会同步删除该用户组。对该用户组添加、删除成员操作将自动同步至应用中。具体可参考：▪

授权策略。

图2-30 删除已授权应用

● 审计日志

通过审计日志可以查看管理员对该用户组的操作，如创建、新增成员等。同时，

可根据条件过滤。

编辑用户组信息

在用户组列表中，单击用户组右侧的“编辑”，可以修改用户组的名称和描述。不支持修改用户组所属的组织。

(20)

图2-31 编辑用户组

为用户组添加用户

通过为用户组添加用户，可以将将不同组织的成员加入同一个用户组，方便您进行统一管理和授权。基于用户组的授权可参考：▪授权策略。

步骤1 在用户组列表中，单击用户组右侧的“添加成员”。

图2-32 添加成员

步骤2 在添加成员页面，勾选用户，单击“保存”。

----结束

删除用户组

在用户组列表中，单击用户组右侧的“删除”，单击“确定”，删除用户组。删除用户组不会影响用户。

图2-33 删除用户组

2.2.4 身份源管理

OneAccess具有同步身份数据的功能，数据传递的关系模型可以理解为“上游 - 中游 - 下游”。其中，上游是企业管理的核心身份源，中游是OneAccess平台，下游是需要和上游保持同步的应用系统。通过该模型，OneAccess可将上游的身份数据实时同步

(21)

到下游应用系统，确保人员的入离调转行为可以准确的传递到各个应用系统，实现用户的全生命周期管理，确保身份数据同步的准确和安全。

身份源相当于企业的核心身份管理系统，包含企业用户的详细信息。OneAccess提供了标准的上游身份源，例如企业微信、钉钉、AD和LDAP等，通过简单的连接配置，

即可实现将这些身份源的组织、用户数据同步到OneAccess中。身份源同步可用于以下场景：

● 唯一身份源

当企业配置唯一身份源后，可通过该身份源的管理系统维护企业的身份数据。

● 多个独立身份源

当企业配置的身份源相互独立，且身份数据之间没有交集时，可分别通过身份源的管理系统维护对应的企业身份数据。例如，总公司的下属子公司A、子公司B，

分别拥有独立的的身份管理系统，可对应OneAccess中的不同机构，通过各自独立的身份管理系统维护对应的身份数据。

● 多个相关身份源

当企业配置的身份源存在关联时，即身份数据之间有交集，为避免同步时，可能出现的数据覆盖问题，建议身份数据的创建、更新通过唯一的源头控制。

OneAccess支持企业以多种身份源同步用户和组织信息，如企业钉钉、微信、AD、

LDAP等。不同的身份源配置信息略有差异。具体可参考：

● 添加钉钉身份源请参考：集成钉钉身份源。

● 添加企业微信身份源请参考：集成企业微信身份源。

● 添加AD身份源请参考：集成AD身份源。

● 添加LDAP身份源请参考：集成LDAP身份源。

● 添加飞书身份源请参考：集成飞书身份源。

● 添加薪人薪事身份源请参考：集成薪人薪事身份源。

本章以钉钉身份源为例介绍添加身份源的操作步骤。

操作步骤

步骤1 添加身份源。

1. 在OneAccess管理平台导航栏中，单击“用户 > 身份源管理”。

图2-34 身份源管理

2. 在身份源管理页面，单击身份源列表操作列的“添加身份源”。

(22)

图2-35 添加身份源

3. 在添加身份源页面输入“身份源名称”，单击“确定”，身份源添加成功。

步骤2 设置导入配置。

1. 在身份源列表页面，单击步骤1添加身份源的“ 详情”，进入配置页面。

图2-36 单击“详情”

2. 在配置页面，选择“导入配置”页签。

3. 填写导入配置参数，单击“保存”。

表2-2 配置参数

参数说明

导入配置企业 ID 必填。身份源开发平台注册的企业ID，如钉钉上的CorPId。

应用的开发

key 必填。身份源开发平台创建应用获取的key，如钉钉上的 AppKey。

应用的凭证秘钥

必填。身份源开发平台创建应用获取的凭证密钥，如钉钉上的 AppSecret。

根部门 id 必填。默认值是1，同步身份源中所有机构的用户信息。如需同步部分机构的用户信息，您可以填写需要同步的部门 id。

代理服务器

地址选填。企业的服务器出口IP或域名地址，通过该地址从身份源同步数据。如果填写，则可以实时同步身份源数据。

(23)

参数说明

回调注册默认关闭。如果开启，身份源数据会实时同步到 OneAccess中。

回调地址开启回调注册时，由系统默认生成。

事件类型开启回调注册时，由系统默认生成。

高级配置

（选填）

选择机构选择身份源同步的组织在OneAccess组织中的位置。如果不填，将创建根机构。

删除阈值 OneAccess提供的一种保护机制，支持自定义。

例如，身份源删除了超过设定阈值的数据，

OneAccess收到通知后，不会进行同步删除。

组织匹配策

略身份源与OneAccess机构的映射关系。当 OneAccess同步身份源的组织时，根据该策略进行匹配。

如添加OneAccess属性名为编码、身份源属性名为机构编码，则身份源导入后组织编码即为身份源的机构编码。

创建组织默认开启。开启后，如果同步机构时匹配失败，

则在OneAccess上创建匹配失败的机构。建议开启。

更新组织默认开启。开启后，如果同步机构时匹配成功，

则在OneAccess上更新匹配成功的机构。建议开启。

删除组织当身份源机构数据成功同步至OneAccess后，如果删除身份源中的机构，则OneAccess会保留该机构。

用户匹配策

略支持自定义。钉钉与OneAccess用户的映射关系，当OneAccess同步钉钉用户时，根据该策略进行匹配。

创建用户默认开启。如果同步用户时匹配失败，则在 OneAccess上创建匹配失败的用户。

更新用户默认开启。如果同步用户时匹配成功，则在 OneAccess上更新匹配成功的用户。

删除用户提供禁用用户、保留用户选项。当身份源用户数据成功同步至OneAccess后，如果删除身份源中的用户，则OneAccess会根据该配置保留用户或禁用用户。

步骤3 设置对象模型。在配置页面，选择“对象模型”页签，自定义用户、机构的属性和映射规则。

(24)

表2-3 对象模型

参数说明

用户属性定

义自定义身份源数据导入OneAccess的用户属性，如用户ID。

映射定

义自定义身份源与OneAccess用户数据同步时的匹配规则，支持脚本转换。

机构属性定

义自定义身份源数据导入OneAccess的机构属性，如机构ID。

映射定

义自定义身份源与OneAccess机构数据同步时的匹配规则，支持脚本转换。

步骤4 同步身份源数据。进入“导入同步”页签，单击“执行”，OneAccess主动同步身份源的数据。

图2-37 单击“执行”

步骤5 查看回调事件。在“回调事件”中，你可以查看OneAccess与身份源的交互操作，包括创建、更新、删除等操作。

----结束

2.2.5 用户属性定义

当企业需要配置更多的用户信息，并将其同步至下游应用系统时，可以通过用户属性定义添加用户属性，包括基本属性和扩展属性。

● 基本属性：系统预置的用户属性，如用户名、手机号等，基本属性只支持修改，

不能添加和删除。

● 扩展属性：系统已预置部分属性，可修改和删除，您可以按需添加需要的属性，

如工龄、员工级别等。

添加扩展属性

步骤2 在导航栏中，单击“用户 > 用户属性定义”。

图2-38 用户属性定义

(25)

步骤3 在用户属性定义页面，单击扩展属性右侧的“添加属性”。

图2-39 添加属性

步骤4 在添加扩展属性页面，填写属性信息。

表2-4 基础配置

参数说明

* 属性名称用户属性的名称，不可重复。

* 属性代码属性名称对应的代码，不可重复。

* 显示类型 ● 显示类型可在下拉框选择，不同的显示类型可配置的选项不同。

● 当显示类型为字典时，需要关联字典，添加字典可参考：数据字典。

● 当显示类型为敏感文本时，系统默认部分脱敏。

默认值属性的默认值。显示类型选择普通文本、数字或者开关时，可配置该属性。

说明文字属性值的填写描述。

选项当显示类型选择不同时，可勾选的选项不同。

* 关联字典当显示类型选择字典时，需要关联字典，添加字典可参考：数据字典。

表2-5 显示配置

参数说明

属性显示序号 ● 可以调整属性在扩展属性列表中的显示顺序，系统默认为在最前面。

● 添加用户时，扩展属性会按照该值显示。如果需要扩展属性显示在某个扩展属性之后，可通过设置该属性实现。

控制台用户管理（管理门户）

查询条件显示

勾选后，在用户列表页面，该属性可作为用户的查询选项。

可搜索查询结果列表显示

勾选后，在用户列表页面，可显示该属性的值。如基本属性邮箱勾选该选项后，用户列表会显示用户的邮箱信息。

(26)

参数说明添加用户显

示读写|只读|隐藏：添加用户时，是否允许查看、编辑、隐藏该属性。

查看/编辑显

示读写|只读|隐藏：查看/编辑用户时，是否允许查看、编辑、隐藏该属性。

用户自服务

（用户门户）

个人信息显

示读写|只读|隐藏：查看个人信息时，否允许查看、编辑、

隐藏该属性。

注册页面显

示读写|只读|隐藏：用户注册时，是否允许查看、编辑、隐藏该属性。

步骤5 单击“保存”，属性添加完成，扩展属性列表中显示已添加的属性。

----结束

修改基本/扩展属性

在用户属性定义页面，单击基本属性、扩展属性列表操作列的 “修改”，可以修改用户的属性信息。其中，属性代码、显示类型不支持修改。

图2-40 修改属性

删除扩展属性

在用户属性定义页面，单击扩展属性列表操作列的“删除”，单击弹窗中的“是”，

可删除扩展属性。

说明

● 不支持删除用户的基本属性。

● 扩展属性删除后不可恢复，请谨慎删除。

图2-41 删除属性

2.3 资源管理

(27)

2.3.1 资源管理概述

OneAccess支持对资源进行统一管理，包括对应用、企业API、企业设备的管理。本章旨在为您介绍在OneAccess中如何管理企业应用、企业API和企业设备。

应用

应用可以理解为企业的下游系统，OneAccess支持基于SAML、OAuth、OIDC、CAS协议的单点登录，同时，也支持插件代填和SDK/API。当配置完成后，用户登录

OneAccess用户门户，单点已授权的应用，即可实现多个已授权应用的单点登录。具体可参考：登录OneAccess并进入应用。同时，支持基于事件回调、SCIM 、LDAP方式的同步集成，配置完成后，可将OneAccess的数据同步至应用。

OneAccess已预集成1000+应用，您可以按需添加。

如下章节将为您详细介绍应用管理及其授权的相关操作：

添加应用配置应用

启用/禁用/删除应用

企业 API

OneAccess提供企业API功能，包含系统API产品和自定义API产品。

● 系统API产品

OneAccess内置的API产品，包含一组

● 自定义API产品

您可以根据需要将开放接口注册到OneAccess平台，方便企业应用调用。

企业API系统API产品是OneAccess内置的API产品和权限，自定义API产品是由用户自定义的API产品和权限。对于系统API产品，只支持查看和授权。

如下章节将为您详细介绍系统API的授权与调用操作：

授权内置API产品调用内置API产品修改内置API产品添加自定义API产品配置自定义API产品删除自定义API产品

企业设备

OneAccess提供了Radius Server能力，支持各类VPN，包括华为、深信服、H3C等企业设备通过Radius协议配置后进行认证，实现统一管理企业的VPN设备。

如下章节将为您详细介绍管理企业设备的相关操作：

添加企业设备

(28)

修改企业设备信息删除企业设备

2.3.2 添加应用

OneAccess提供自建应用和预集成应用的添加，您可以根据企业需要添加。

添加自建应用

自建应用指企业的自研应用、不在预集成应用列表中的SaaS类或商业应用等。

步骤2 在导航栏中，单击“资源 > 应用”。

步骤3 在企业应用页面，单击自建应用下的“添加自建应用”。

步骤4 在添加应用页面，设置应用名称，单击“保存”，应用添加完成，应用列表中显示已添加的应用。

步骤5 添加应用后，需要配置相关参数，才可正常使用，详情请参考：配置应用。

----结束

添加预集成应用

预集成应用指OneAccess根据应用的开发接口、相应协议已提前集成的应用。

步骤1 在企业应用页面，单击预集成应用下的“添加预集成应用”。

步骤2 在新增预集成应用页面，单击需要的预置应用。

步骤3 在添加应用页面，编辑通用信息。设置应用名称，单击“下一步”。

步骤4 配置认证参数。不同应用的认证集成方式可能不同，需配置的认证参数也不同。

下面以配置华为云为例，说明认证集成参数的配置方法。基于华为云，OneAccess支持“上传文件”和“手动编辑”两种配置方法，选择其中一种即可。如添加华为云请参考：单点登录华为云。

● 上传元数据

a. 单击认证参数配置页面的“导入SP应用元数据”。

b. 单击“选取文件”，选择获取的应用SP的元数据文件。

(29)

说明

▪

如果提示“请上传正确的文件类型”，需要您确认元数据文件的正确性后，重新上传或者通过手动编辑提取元数据。

▪

企业应用的元数据获取方法请参考企业应用的帮助文档。

图2-42 上传元数据文件

c. 待“选取文件”变为“√”时，即系统已提取元数据，单击“下一步”，应用添加完成。

● 手动编辑元数据

a. 单击“手动输入配置数据”。

b. 在手动编辑元数据页面，输入从SP元数据文件中获取的“Entity ID”、

“Audience URI”等参数。

(30)

图2-43 编辑元数据

表2-6 认证参数

参数说明

* SP Entity ID SP唯一标识，对应SP元数据文件中的“Entity ID”的值。

(31)

参数说明

* 断言消费地址

（ACS URL） SP回调地址（断言消费服务地址），对应SP元数据文件中

“AssertionConsumerService”的值，即当OneAccess认证成功后响应返回的地址

* Name ID 用户在应用系统中的账号名对应字段，可以选择用户的属性或者对应的账号属性,此字段的值将作为断言中的subject。

NameID Format SP支持的用户名称标识格式。对应SP元数据文件中

“NameIDFormat”的值。

Audience URI 允许使用SAML断言的资源，默认和SP Entity ID相同。

Single Logout URL 服务提供商提供会话注销功能，用户在OneAccess注销会话后返回绑定的地址。对应SP元数据文件中

“SingleLogoutService” 的值。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。

Relay State 用户在OneAccess登录成功后默认跳转的URL。

Reponse签名是否对SAML Response使用IDP的证书签名。

断言签名是否对断言使用IDP的证书签名，对应SP元数据文件中

“WantAssertionsSigned”值。

数字签名算法 SAML Response或者断言签名的算法。支持RSA_SHA256、

RSA_SHA512、RSA_RIPEMD160，可在下拉框选择。

数字摘要算法 SAML Response或者断言的数字摘要算法。支持SHA256、

SHA512、RIPEMD160，可在下拉框选择。

断言加密是否对断言进行加密。

验证请求签名是否对SAML Request签名进行验证，对应SP元数据文件中

“AuthnRequestsSigned”值。

* 验证签名证书 SP公钥证书，用来验证SAML request的签名，对应SP元数据文件中use="signing"证书内容。

步骤5 配置同步参数。不同应用的同步集成方式可能不同，需配置的同步参数也不同。

下面以配置Coremail为例，说明同步集成参数的配置方法。

1. 配置认证参数后，单击“下一步”。

2. 在同步配置页面，填写参数，单击“测试”可测试配置的正确性，配置完成后，

单击“下一步”，完成添加应用。如需配置其他菜单，请参考：配置应用。

(32)

----结束

2.3.3 配置应用

配置应用包括通用信息、认证配置、同步配置、登录配置、访问控制、对象模型、授权管理、API权限、应用侧权限、审计日志。

本章主要介绍应用的配置方法，该方法同时适用于自建应用和预集成应用。

通用信息

● 接口认证凭证

– ClientId：接口认证凭证ID，注册应用后，由系统自动分配。

– ClientSecret：接口认证凭证密钥，注册应用后，单击“启用”获取。

说明

如不慎丢失访问密钥，请单击“重置”获取新的访问密钥。

● 应用信息

包含应用LOGO和应用名称，可修改。

● 集成信息

– 认证集成：企业应用与OneAccess认证集成的协议，一旦设置不可修改。

– 同步集成：企业应用与OneAccess同步集成的方式，一旦设置不可修改。

● 其他信息

应用显示指应用在用户门户首页的显示方式，包含▪自动显示、▪固定显示、▪不显示三种方式。

(33)

– 自动显示：有该应用账号的用户在登录用户门户后，首页显示该应用。

– 固定显示：所有用户在登录用户门户后，首页都显示该应用。

– 不显示：所有用户在登录用户门户后，首页都不显示该应用。

认证配置

认证配置包括参数配置和映射配置，认证集成的方式不同，此处需配置的参数也不同。具体可参考：

● SAML协议的认证配置可参考：表2-6。

● OAuth协议的认证配置可参考：认证配置。

● OIDC协议的认证配置可参考：认证配置。

● CAS协议的认证配置可参考：认证配置。

● 插件代填方式的认证配置可参考：认证配置。

映射配置，即认证成功后需要返回给应用的属性，以建立OneAccess与应用侧属性的映射关系。包括•添加映射、•编辑映射、•删除映射。

● 添加映射

以SAML协议为例，说明添加映射的方法。

a. 在认证配置页面，选择“映射配置”页签，单击“添加映射”，填写表单信息。

图2-44 添加映射

表2-7 映射参数

参数说明

* 应用系统属性

名企业应用的用户属性名称。即认证成功后，OneAccess 返回给应用的用户属性。

(34)

参数说明

* 映射类型不同的映射类型决定不同的接口在认证成功后返回的属性值，可在下拉框选择。

● 用户属性：将OneAccess的用户属性返回给下游企业应用。

● 账号属性：将应用的账号属性返回给下游企业应用。

● 账号权限：将应用的账号权限返回给下游企业应用。当下游应用需要OneAccess用户携带权限信息返回时，可通过该配置实现。

● 社交属性：将OneAccess用户绑定的社交属性值返回给下游企业应用。

● 固定属性值：可配置固定值。

● 动态脚本：可通过脚本自定义返回给下游企业应用的属性值，可参考：如何开发映射脚本。

● 会话属性：将会话的参数返回给下游企业应用。

● 授权应用：如添加该映射，可通过“测试”查看用户已授权的应用。

* 用户属性名 OneAccess映射至应用的属性，可在下拉框选择。该属性的选项随映射类型变化。

* Friendly Name 与应用系统属性名一致。当认证协议为SAML时，可配置该参数。

* Attr Name

Format SAML协议返回的一种数据格式，可在下拉框选择。

b. 单击“测试”，进入选择用户页面，输入用户名选择用户后，可测试添加的映射关系。

图2-45 测试

(35)

图2-46 测试映射关系

● 编辑映射

单击映射操作列的“编辑”，可修改映射。

● 删除映射

单击映射操作列的“删除”，可删除映射。如需再次添加，可参考：•添加映射。

同步配置

同步配置包括参数配置和常规配置，同步集成的方式不同，此处需配置的参数也不同。具体可参考：

● 事件回调的同步配置可参考：事件回调配置。

● SCIM协议的同步配置可参考：同步配置。

● LDAP协议的同步配置可参考：同步配置。

当同步方式为事件回调时，可实现全量同步。具体可参考：全量同步。

常规配置，即同步时的映射关系，默认启用，包括•删除账号、•删除机构、•禁用机构。

图2-47 常规配置

● 删除账号

当OneAccess删除应用账号后，下游应用系统根据该配置决定需执行的操作，可在下拉框选择，包括删除应用系统中的账号、禁用应用系统中的账号、不同步。

(36)

● 删除机构

当OneAccess删除应用机构后，下游应用系统根据该配置决定需执行的操作，可在下拉框选择，包括删除应用系统中的机构、禁用应用系统中的机构、不同步。

● 禁用机构

当OneAccess禁用应用账号后，下游应用系统根据该配置决定需执行的操作，可在下拉框选择，包括禁用应用系统中的账号、不同步。

登录配置

OneAccess支持对每个应用配置独立的登录认证方式，包括•网站应用、•移动应用、•

公众号。

● 网站应用

配置企业用户从PC端通过浏览器访问应用时的登录认证方式。开启认证方式的前提是添加相应认证源，具体可参考：集成认证源。

AD、LDAP认证会占用密码登录方式的输入框，故密码认证、AD认证、LDAP认证只允许同时开启一种。

配置ID、挂接URL由系统自动生成，可通过浏览器访问挂接URL登录应用，该URL 可编辑。

● 移动应用

配置企业用户从移动端访问应用时的登录认证方式。开启认证方式的前提是添加相应认证源，具体可参考：集成认证源。

AD、LDAP认证会占用密码登录方式的输入框，故密码认证、AD认证、LDAP认证只允许同时开启一种。

配置ID、挂接URL由系统自动生成，可在移动端访问挂接URL登录应用，该URL可编辑。

● 公众号

配置企业用户通过微信公众号免密登录企业应用。添加配置的前提是添加微信公众号认证源。

在配置公众号页面，单击“添加配置”，进入添加微信公众号页面，选择认证源即可。添加完成后，系统自动生成配置ID、挂接URL，单击操作列的“查看URL”

可查看该URL，如需删除，单击“删除”即可。

访问控制

访问控制是对已授权用户的行为进行风险管控，如果用户未授权访问应用的权限，则策略对该用户不生效。配置应用访问控制策略前，需开启访问控制策略，即配置默认策略。配置多条应用访问控制策略后，可调整其优先级。

(37)

图2-48 调整策略优先级

当企业用户访问应用时，根据自定义策略的优先级进行匹配，如果匹配失败，将通过默认策略判断用户是否可以访问。

关闭默认策略后，将清空所有策略且无法恢复，请谨慎操作。以下介绍配置自定义策略的方法。

1. 在访问控制页面，开启访问控制策略，配置默认策略。

2. 配置完成后，单击“添加策略”，配置访问控制参数。

图2-49 添加策略

(38)

图2-50 配置访问控制参数

(39)

表2-8 策略参数

参数说明

* 策略名称策略的名称。

描述策略的描述信息。

用户条件指定访问应用的用户范围，可在下拉框选择。

条件关系用户条件（用户属于组、用户属于组织、指定用户、自定义条件）之间的关系。

用户属于组用户条件之一，通过指定用户组控制用户的访问行为。用户组请参考：用户组。

用户属于组织

用户条件之一，通过指定组织控制用户的访问行为。组织请参考：组织。

指定用户用户条件之一，通过指定用户控制用户的访问行为。用户请参考：用户。

自定义条件 ● 用户条件之一，通过指定用户的属性控制用户的访问行为。

用户属性请参考：用户属性定义。

● 单击“继续添加自定义条件”可添加多条自定义条件。

访问时间指定访问应用的时间范围，可在下拉框选择。

选择日期指定访问应用的日期，可在下拉框选择。

选择时间段指定访问应用的时间段，可在下拉框选择。

具体时间段 ● 通过指定具体时间段控制用户的访问行为。

● 单击“ 继续添加时间段”可添加多条具体时间段。

设备类型指定访问应用的介质，包含浏览器、桌面端、移动端。

● 浏览器：谷歌、火狐、IE、其他。

● 桌面端：Windows、Linux、MacOs、其他。

● 移动端：Android、IOS、其他。

区域范围 ● 访问应用的区域，可在下拉框选择。

● 如需指定具体的区域，单击“配置区域范围”配置区域，具体方法请参考：区域范围。

认证源类型指定访问应用的认证源，可在下拉框选择。

(40)

参数说明

THEN 是否允许访问应用。当选择“二次认证”时，需配置二次认证频率和二次认证方式。

● 二次认证频率：在访问凭证有效期内，指定访问应用的频率。

● 二次认证方式：指定认证方式。

● 当勾选OTP后，用户登录二次认证时可按照页面提示获取动态口令，可参考动态口令配置查看具体配置。

● 当二次认证方式勾选多个后，用户登录二次认证时，可选择二次认证方式。

对象模型

对象模型是OneAccess的数据同步至下游应用的基础，包括•应用账号模型和•应用机构模型。

在开启同步配置后，OneAccess已定义了账号名、姓名、应用机构等常规的内置属性，如需同步更多的属性，可通过在对象模型处添加属性并配置映射实现。同步时，

需保持添加的属性名与应用的属性名一致。

当配置同步集成方式为LDAP后，在添加账号属性、机构属性时，OneAccess已内置属性名，可在下拉框选取。

● 应用账号模型

a. 在应用账号模型页面，选择“属性定义”页签，单击“添加”，配置应用的账号属性。

图2-51 添加属性

(41)

图2-52 配置属性参数

表2-9 属性参数

参数说明

* 属性名应用账号的属性名称。

* 显示标签属性名称的标识，建议与属性名对应。

描述属性名的说明。

* 属性类型属性值的类型，可在下拉框选择。

格式属性类型的格式，可在下拉框选择。

必填勾选后，同步用户数据至应用时，该属性必须有值，为空时，会提示“{显示标签}为必填属性”。

b. 分别单击属性操作列的“更新”、“删除”可编辑、删除账号的属性，对于内置属性，不支持删除操作。

c. 选择“映射定义”页签，单击“编辑”，配置账号属性的映射关系。

为了避免同步异常，建议添加的账号属性与需要映射的用户属性类型保持一致。

(42)

图2-53 编辑映射

表2-10 映射参数

参数说明

用户映射至应用账号的用户属性，可在下拉框选择。

转换方式用户与应用账号属性之间的映射方式，可在下拉框选择。

脚本表达式填写映射脚本。具体可参考：如何开发映射脚本。

执行方式应用账号属性的同步方式，可在下拉框选择。

应用账号应用账号属性的显示标签。

● 应用机构模型

配置应用机构模型前需开启应用机构，配置方法与应用账号模型类似，具体可参考：•应用账号模型。

为了避免同步异常，建议添加的机构属性与需要映射的组织属性类型保持一致。

图2-54 开启应用机构

(43)

授权管理

授权管理是对企业用户、机构进行统一的授权和管理，主要包括•应用账号、•应用机构、•同步事件、•孤儿账号、•公共账号。

● 应用账号

管理OneAccess用户与应用侧账号之间的绑定关系，即一个OneAccess用户可以对应多个不同应用系统的应用账号，实现一对多的映射关系。

如果已配置同步参数，且同步正常时，添加、通过授权策略新增和删除、编辑、

删除、启用、禁用应用账号会触发向下游应用的同步操作。具体可参考：通过事件回调方式同步数据至应用。

应用账号包括▪新账号和▪存量账号。

– 新账号

“新账号”可以理解为“开通”，表示通过手工添加或授权策略为企业用户授权访问应用的权限，即分配应用账号。

– 存量账号

“存量账号”可以理解为“绑定”，表示应用系统原有的历史账号，您可以通过线下梳理OneAccess用户和存量账号的绑定关系后，批量导入应用账号中，也可以批量导入存量账号到孤儿账号中，再通过绑定OneAccess用户关联这些存量账号。具体可参考：•应用账号导入，

以下介绍如何授予并管理用户访问应用的权限。包括▪添加账号、▪授权策略、▪用户机构计算、▪编辑账号、▪应用侧角色/权限、▪解绑账号、▪删除账号、▪启用/禁用账号、▪清空账号

– 添加账号

添加账号是手工授予用户应用权限的基本方式，如需自动授权，请参考：▪授权策略。

如果应用机构开启机构自动授权，“添加账号”时，可选择的用户范围为已自动授权的机构。应用机构授权请参考：•应用机构。

i. 在应用账号页面，单击“添加账号”。

ii. 在添加账号页面，选择需要授予应用权限的用户，单击“确定”，完成用户授权。

(44)

– 授权策略

授权策略可自动授予、删除用户访问应用的权限，方便您对企业应用的用户权限进行统一管理和维护。

当开启用户自动授权后，对所授权的组织添加用户、删除用户、调整用户组织，对所授权的用户组添加、删除用户，可自动同步至应用中。

i. 在应用账号页面，单击“授权策略”。

(45)

ii. 在授权策略页面，“开启用户自动授权”并“选择用户”，单击“保存”，保存当前策略，不立即授权用户。

iii. 单击“执行新增”，完成用户授权，应用账号列表显示已选择的用户。

如果应用机构开启机构自动授权，当“选择用户”为“机构范围中所有用户”或“自定义”时，可选的“机构范围”为已自动授权的机构，即可授予已自动授权机构中的用户访问应用的权限，用户组范围不受已自动授权机构的限制。应用机构授权请参考：•应用机构。

○ 当“选择用户”为“机构范围中所有用户”时，“机构范围”会显示全部机构，即授予所有用户访问应用的权限。

○ 当“选择用户”为“自定义”时，需至少选择一个范围。单击“选择”，选择需要授予应用权限的机构或用户组。只选择“机构范围”时，会授予所选机构中的用户访问应用的权限。

(46)

○ 只选择“用户组范围”时，会授予所选用户组中的用户访问应用的权限。

○ 当同时选择“机构范围”和“用户组范围”时，会授予所选机构、

用户组的共有用户即二者的交集访问应用的权限。

(47)

iv. 如需批量删除基于机构、用户组的授权，在授权策略页面，取消勾选需要删除的机构、用户组，单击“保存”后，只保存当前策略，不立即取消用户授权。再单击“执行删除”，完成对用户的取消授权，应用账号列表不显示已取消授权的用户。可参考：授权操作，与其逻辑一致。

– 用户机构计算

当开启应用机构的自动授权后，应用账号模型未配置应用机构的映射时，单击“用户机构计算”后，应用账号列表显示其归属的应用机构。应用机构的自动授权请参考：•应用机构，应用账号模型的配置请参考：•应用账号模型。

图2-55 用户机构计算

– 编辑账号

单击应用账号操作列的“编辑”，可修改应用账号的信息，该页面显示的账号属性可通过应用账号的属性定义来配置。具体可参考：•应用账号模型。

– 应用侧角色/权限

使用应用侧角色/权限授权的前提是配置应用侧权限。具体可参考：应用侧权限。

(48)

图2-56 应用侧角色/权限

▪

当应用侧权限配置为基于角色的应用权限管理时，选择应用账号列表右侧的“更多 >应用侧角色/权限 ”，只可按应用侧角色授权，选择需要授予角色的账号，单击“确定”，完成基于角色的授权。基于角色的应用权限管理请参考：•基于角色的应用权限管理。

图2-57 按应用侧角色授权

▪

当应用侧权限配置为基于角色、权限、资源的应用权限管理时，选择应用账号列表右侧的“更多 >应用侧角色/权限，可选择按应用侧角色授权、按应用侧权限授权两种方式，每个账号只能选择一种授权方式。按应用侧权限授权时，选择需要授予的权限，并勾选所需资源条目，单击

“确定”，完成基于应用侧权限的授权，其中，资源条目与其子条目之间权限独立，按单独授权。

图2-58 按应用侧角色授权

当对账号按应用侧权限授权后，可在相应资源的已授权账号中查看。

(49)

图2-59 查看已授权账号

应用侧角色授权请参考：按应用侧角色授权。

基于角色、权限、资源的应用权限管理请参考：•基于角色、权限、资源的应用权限管理。

– 解绑账号

选择应用账号列表右侧的“更多 > 解绑账号 ”，单击弹窗中的“确定”，可解除用户与账号之间的关联关系。

解绑账号后，该账号会自动移动至孤儿账号，可在孤儿账号中查看，可通过

“绑定用户”将其转换为应用账号，具体可参考：▪绑定用户。

图2-60 解绑账号

– 删除账号

选择应用账号列表右侧的“更多 > 删除 ”，单击弹窗中的“确定”，可删除账号。删除账号后，该用户将无访问应用的权限，请谨慎删除。如需批量删除请参考：▪授权策略。

(50)

– 启用/禁用账号

单击应用账号状态列的开启按钮，可禁用账号。禁用账号后，该用户的用户门户不显示该应用，即被禁止访问该应用，开启后，该用户的用户门户显示该应用，即允许访问该应用。用户访问应用请参考：登录OneAccess并进入应用。

– 清空账号

在应用账号页面单击“清空账号”，单击弹窗中的“确定”，会初始化该应用的授权数据，即取消已授权用户访问该应用的权限，请谨慎操作。

在弹窗中如勾选“同时删除孤儿账号和公共账号”，会同时清空孤儿账号和公共账号。清空公共账号后，该账号的责任人登录用户门户后，公共账号列表不显示该应用的公共账号，即同步该操作。

图2-61 清空账号

● 应用机构

应用机构主要管理应用侧与OneAccess机构的关系，可覆盖以下场景：

(51)

– 应用侧的机构与OneAccess保持一致，随OneAccess同步变更。

– 应用侧的机构只是OneAccess的一部分，随OneAccess同步变更。

– 应用侧的机构是OneAccess的全部或部分，同时，拥有自身独立的应用机构，即虚拟机构。

使用应用机构前，需开启应用机构，具体可参考：•应用机构模型。

如果已配置同步参数，且同步正常时，通过授权策略新增和删除应用机构、添加虚拟机构、编辑虚拟机构、移动虚拟机构、删除虚拟机构会触发向下游应用的同步操作。具体可参考：通过事件回调方式同步数据至应用。

应用机构包括▪授权策略、▪添加虚拟机构、▪编辑虚拟机构、▪移动虚拟机构、▪删除虚拟机构。

– 授权策略

如果已配置同步参数，且同步正常时，对通过授权策略新增的应用机构执行添加子组织、编辑、移动、删除会触发向下游应用的同步操作。具体请参考：组织。

i. 在应用机构页面，单击“授权策略”。

ii. 在授权策略页面，“开启机构自动授权”并选择机构，单击“保存”，

保存当前策略，不立即授权机构。

(52)

iii. 单击“执行新增”，完成机构授权，应用机构列表显示已选择的机构。

○ 当“请选择机构”为“全部机构”时，会授权OneAccess的所有机构。

○ 当“请选择机构”为“自定义”时，需至少选择一个机构。单击

“选择”，选择需要授权的机构。若不勾选启用“同步上级机构”，只会授权所选机构。

○ 若勾选启用“同步上级机构”，会同时授权所选机构的上级。

(53)

iv. 如需批量删除授权的机构，在授权策略页面，取消勾选需要删除的机构，单击“保存”后，只保存当前策略，不立即取消机构授权。再单击

“执行删除”，完成对机构的取消授权，应用机构列表不显示已取消授权的机构。可参考：授权策略，与其逻辑一致。

– 添加虚拟机构

虚拟机构归属企业应用，满足了企业应用拥有自身独立机构的场景。

在应用机构页面，单击“+”，输入组织编码、机构名，单击“保存”，完成虚拟机构的添加。当选择上级机构时，添加的虚拟机构为其子机构，当上级机构为空时，添加的虚拟机构为顶层机构。

– 编辑虚拟机构

在应用机构页面，单击虚拟机构操作列的“编辑”，可修改虚拟机构的信息。

(54)

– 移动虚拟机构

在应用机构页面，单击虚拟机构操作列的“移动”，可修改虚拟机构的上级机构。

– 删除虚拟机构

在应用机构页面，单击虚拟机构操作列的“删除”，单击弹窗中的“确定”，可删除虚拟机构。如需再次添加可参考：▪添加虚拟机构。

– 清空机构

在应用机构页面单击“清空机构”，单击弹窗中的“确定”，会初始化该应用的授权数据，即取消对机构的授权，请谨慎操作。清空机构后，通过“添加账号”、“授权策略”授权用户访问应用的权限时，可选择的机构范围不受已授权机构的限制，即可以选择OneAccess的所有机构。

(55)

当归属于已授权机构的应用账号、孤儿账号、公共账号未被清空，且应用账号的列表显示其归属的机构时，“清空机构”会提示“机构中存在应用账号/

孤儿账号/公共账号”，需优先清空应用账号、孤儿账号、公共账号。

图2-62 清空机构

● 同步事件

当OneAccess向下游企业应用同步数据时，同步事件会记录同步的所有操作，方便您进行查看。具体可参考：查看同步事件。

● 孤儿账号

孤儿账号指与OneAccess用户无绑定关系的账号。包括▪添加账号、▪编辑账号、▪

绑定用户、▪转公共账号、▪删除账号。

如果已配置同步参数，且同步正常时，添加、编辑、删除孤儿账号会触发向下游应用的同步操作。具体可参考：通过事件回调方式同步数据至应用。

– 添加账号

在孤儿账号页面，单击“添加账号”，填写账号信息，单击“保存”，完成孤儿账号的添加，孤儿账号列表显示已添加的孤儿账号。该页面显示的账号属性可通过应用账号的属性定义来配置。具体可参考：•应用账号模型。

单击孤儿账号状态列的开启按钮，可禁用账号，再次单击该按钮，可开启账号。

(56)

– 编辑账号

单击孤儿账号操作列的“编辑”，可修改孤儿账号的信息，该页面显示的账号属性可通过应用账号的属性定义来配置。具体可参考：•应用账号模型。

– 绑定用户

选择孤儿账号列表右侧的“更多 > 绑定用户 ”，在绑定用户的弹窗中输入存在的用户名，单击“确定”，可建立孤儿账号与用户之间的绑定关系。如输入的用户不存在，会提示“绑定的用户不存在”。

绑定用户后，该账号会自动移动至应用账号，可在应用账号中查看，可通过

“解绑账号”将其转换为孤儿账号，具体可参考：▪解绑账号。

(57)

– 转公共账号

选择孤儿账号列表右侧的“更多 > 转公共账号”，单击弹窗中的“确定”，

可将该账号转换为公共账号。

转公共账号后，该账号会自动移动至公共账号，可在公共账号中查看。

– 删除账号

选择孤儿账号列表右侧的“更多 > 删除 ”，单击弹窗中的“确定”，可删除账号。

(58)

● 公共账号

公共账号是面向“多人使用一个账号的”场景，当企业应用需要配置一个公共账号供多人使用时，可以通过“责任人”授权“使用者”对该账号进行管理。其中，责任人对公共账号的管理可参考：公共账号授权。

如果已配置同步参数，且同步正常时，添加、编辑、删除公共账号会触发向下游应用的同步操作。具体可参考：通过事件回调方式同步数据至应用。

– 添加账号

在公共账号页面，单击“添加账号”，填写账号信息，单击“下一步”，进入添加责任人页面，单击“保存”，完成公共账号的添加，公共账号列表显示已添加的公共账号。

如果在添加责任人页面，输入的用户名存在，单击“保存”后，该公共账号的责任人显示为已输入的用户名，如果输入的用户名不存在，单击“保存”

后，该公共账号的责任人显示为空。

当公共账号的责任人显示为空时，可通过责任人来添加，具体可参考：▪责任人。

添加公共账号页面显示的账号属性可通过应用账号的属性定义来配置。具体可参考：•应用账号模型。

单击公共账号状态列的开启按钮，可禁用账号。再次单击该按钮，可开启账号。

如果用户只有公共账号的使用权限，即是公共账号的使用者，禁用账号后，

该用户的用户门户不显示该应用，即被禁止访问该应用，开启后，该用户的用户门户显示该应用，即允许访问该应用。用户访问应用请参考：登录 OneAccess并进入应用。

如果用户是公共账号的使用者，同时，该用户拥有合规的应用账号，禁用公共账号后，该用户的用户门户依然显示该应用，访问应用时，使用的是应用账号的信息，开启公共账号后，访问应用时，由用户选择访问应用的账号。

用户访问应用请参考：登录OneAccess并进入应用。

(59)

– 编辑账号

单击公共账号操作列的“编辑”，可修改公共账号的信息，该页面显示的账号属性可通过应用账号的属性定义来配置。具体可参考：•应用账号模型。

– 责任人

选择公共账号列表右侧的“更多 > 责任人 ”，在修改责任人的弹窗中输入存在的用户名，单击“确定”，完成责任人的添加。该用户在用户门户的公共账号处，可管理使用者。具体可参考：公共账号授权。

如果在修改责任人页面，如果输入的用户名不存在，单击“保存”后，该公共账号的责任人显示为空。

当公共账号的责任人显示为空时，可通过责任人来添加，具体可参考：▪责任人。

添加公共账号页面显示的账号属性可通过应用账号的属性定义来配置。具体可参考：•应用账号模型。

(60)

– 使用者

选择公共账号列表右侧的“更多 > 使用者”，在选择使用者的页面勾选需要授权的用户，单击“保存”，完成使用者的添加。同时，责任人登录用户门户后，可在公共账号处管理授权的用户，具体可参考：公共账号授权。

图2-63 使用者

– 删除账号

选择公共账号列表右侧的“更多 > 删除 ”，单击弹窗中的“确定”，可删除账号。

(61)

图2-64 删除公共账号

API 权限

API 权限请参考授权内置API产品和调用内置API产品。

应用侧权限

如果需要OneAccess用户根据相应的权限访问企业应用，可以通过应用侧权限实现。

授予用户权限后，如需用户携带权限信息返回给应用系统，需配置映射，具体可参考：认证配置中的映射配置。

应用侧权限根据授权的精细程度分为基于角色和基于角色、权限、资源的权限管理。

● 基于角色的应用权限管理

根据用户的工作职能定义权限的一种粗粒度授权机制。该机制以用户的职能为粒度，将用户划分到相应的角色，角色与其对应的权限由企业应用维护。

a. 在应用侧权限页面，单击“基于角色的应用权限管理”，填写角色信息，单击“保存”，即可开启基于角色的应用权限管理。单击“继续添加”可以一次添加多个角色。添加完成后，在应用侧权限下会生成一个应用侧角色菜单，在该菜单的右侧会显示已添加的角色列表。

图2-65 添加角色

b. 单击“新增角色”可继续添加角色。

(62)

图2-66 新增角色

c. 单击角色操作列的“编辑”，可修改角色信息。

图2-67 编辑角色

d. 单击角色操作列的“添加成员”，选择需要授予角色权限的账号，单击“确定”，完成角色授权。如需对一个账号授予多个角色权限时，通过开启“是否支持一人多角色”即可实现，该功能开启后不可关闭。

图2-68 添加成员

(63)

图2-69 开启支持一人多角色

e. 单击角色操作列的“删除”，单击弹窗中的“确定”，可删除角色。当应用角色存在被引用的账号时，不可删除。

图2-70 删除角色

● 基于角色、权限、资源的应用权限管理

可以精确到应用的具体角色、权限、资源的一种细粒度授权机制。该机制能够满足企业对权限最小化的安全管控要求。例如，对于应用的数据资源，可以控制部分用户对其进行指定的操作。

当对角色授予树形结构的资源权限时，资源的父级与子级不存在父子关系，可独立授权。

在应用侧权限页面，单击“基于角色、权限、资源的应用权限管理”，定义资源信息，单击“下一步，按照页面提示操作，即可开启基于角色、权限、资源的应用权限管理。在定义资源、权限、角色页面单击“继续添加”可以一次添加多个相应的资源、权限、角色。添加完成后，在应用侧权限下会生成应用侧角色、权限集合菜单，在相应菜单的右侧会显示已添加的角色、权限列表。

(64)

图2-71 开启基于角色、权限、资源的应用权限管理

应用侧角色包括▪新增角色、▪编辑角色、▪新增权限、▪添加成员、▪删除角色、▪权限管理、▪成员管理。

– 新增角色

单击“新增角色”可继续添加角色。

图2-72 新增角色

– 编辑角色

单击角色操作列的“编辑”，可修改角色信息。

图2-73 编辑角色

– 新增权限

单击角色操作列的“新增权限”，可对角色进行授权。当选取资源的数据结构为树形且为指定资源时，鼠标悬浮至父级条目的右侧，会出现“选择所有

设置_应用身份管理服务 OneAccess_用户指南_普通用户指南_华为云

用户指南

华为技术有限公司

目 录

1 使用前必读... 1

2 企业管理员指南... 2

3 普通用户指南...121

4 修订记录... 125

1 使用前必读

OneAccess 使用对象

2 企业管理员指南

2.1 登录 OneAccess

前提条件

操作步骤

2.2 用户管理

2.2.1 用户

添加用户

查看用户详情

编辑用户信息

为用户授予应用的使用权限

修改用户所属组织

用户加入用户组

修改用户密码

重置用户密码

启用/禁用用户

删除用户

2.2.2 组织

添加组织

查看组织详情

编辑组织信息

移动组织

删除组织

2.2.3 用户组

添加用户组

查看用户组详情

编辑用户组信息

为用户组添加用户

删除用户组

2.2.4 身份源管理

操作步骤

2.2.5 用户属性定义

添加扩展属性

修改基本/扩展属性

删除扩展属性

2.3 资源管理

2.3.1 资源管理概述

应用

企业 API

企业设备

2.3.2 添加应用

添加自建应用

添加预集成应用

▪

▪

2.3.3 配置应用

通用信息

认证配置

同步配置

登录配置

访问控制

对象模型

授权管理

▪

▪

API 权限

应用侧权限

目录

1 ^{使用前必读}

2 ^{企业管理员指南}