【FAQ合集】组织成员帐号OrgID 答疑合集
—— · 产品介绍 · ——
Q:华为帐号、华为云帐号和IAM帐号是啥区别,是用OrgID来管理的吗?
A:1. 整个华为集团的统一帐号就是华为帐号。
2. 华为云帐号,华为云账号原来是老的帐号,现在大部分帐号都已经切到华为帐号里了,还有一部分企业认证的帐号没有切。
3. IAM帐号,一般指的是IAM子用户,就是协助华为云上的主帐号(可能是华为帐号,也可能是华为云帐号)进行资源管理的帐号,就是子用户帐号。
我们现在管理的帐号主要是华为帐号,这个华为帐号又分为toB类帐号和toC类帐号。要强调一点,OrgID是应用帐号的治理,不是资源帐号的治理。
Q:OrgID与OneAccess有什么区别?
A:OrgID服务最主要的是作为一个底层服务,去服务于其他上层的业务。跟OneAccess最大的区别,它不是一个单独的服务去销售。
例如,云商店卖一个应用,统一认证,这时候并不是药先去买一个OrgID,再去买这个服务,它就是应用的一部分。
未来,我们还会在应用平台里面,构建这种帐号统一的一个工程出来。举个最简单的例子,可能我的每一个应用都会涉及到帐号,怎么去注册、怎么去登录、怎么去构建这个权限,这些东西都很麻烦,对吧?就是每个应用都要做。这时候我们的目标就是未来需要构建一个统一的工程,你只要选择这个工程,账号的注册登录、权限的管理全都给你做了,你就只要关注业务的代码就行了,关于这部分的能力你就不用管了。OrgID就全都给你做了,这样的一个理念,这些就是未来OrgID主要完成的事情。
—— · 应用场景 · ——
Q:OrgID适合哪些类型的应用?
A:目前我们注册的应用,主要是类似于h5这种web类的应用。SPA的应用现在也是支持的,那种单体应用、JS客户端,我们经常所说的通过开发框架做的轻应用,都是可以的。未来我们会做native的、APP或者PC端的应用,在规划里面会有。
Q:我们企业内已经有很多应用,现在每个系统都有账号密码,登录太麻烦,密码也容易忘,OrgID能解决这个问题吗?
A:这个是我们最主要解决的问题,就是组织类的用户帐号的统一。
—— · 信息安全 · ——
Q:怎样保障信息和账号安全?如果有一个账号泄露或被盗用了,其他账号会不会被影响?
A:我们整个帐号的认证都是基于华为ID的帐号,这个账号的安全认证有很多二次认证的能力。
假如说你首次登录,第一,如果是管理帐号,首次登陆时需要更改密码;第二,有二次认证,需要输入手机号、验证码;第三,浏览器要处于信任的状态,才不需要输入验证码。如果登录一个新设备的时候,同样都需要做手机验证码的登录,这部分的安全都跟华为云是一样的,都是由Huawei ID统一管理的。
如果一个账号泄露或被盗用,这个应该是风控的能力。华为ID现在有4~5亿用户,这部分的风控也有做。OrgID也是借助的这个能力,并不是自己去创造一套新的帐号体系出来,这个不符合公司的定位。
Q:OrgId如何做好平台间数据安全隔离?
A:1. OrgID云服务组织间是逻辑隔离
2. 用户访问的token会检验组织信息,避免越权
3. API访问授权存在多级:系统级(限制可用接口)、应用级来控制访问的范围(限定特定组织下应用)
—— · 产品使用 · ——
Q:orgID能管理同一手机号下注册的华为所有账号吗?
A:OrgID在管理时不是管理所有的帐号,只是引用了华为帐号认证源的数据。在登录页面上,您可以看到所有的帐号信息,下拉框会把你这个华为帐号注册的所有帐号信息都列出来。
Q:多域名是否可以绑定一个OrgID?因为老师在前面说一个组织配置一个自己域名,实际有些企业有多个一级域名,指向同一个应用,目前可兼容
A:组织的域名是用来识别组织成员的帐号,如zhangsan@test.huaweiapaas.com,这里的test.huaweiapaas.com就是这个组织域名,张三用这个帐号来登录组织下的应用
当前不能通过这个域名访问这个组织的下应用,这个属于DNS路由功能
—— · 操作指导 · ——
1、登录失败
Q:输入用户名、密码后提示异常
A:请使用华为帐号直接访问Huawei ID,检查是否可以正常登录。若不能:
- 如果用户是使用个人华为帐号登录,请选择“忘记密码”尝试重新找回密码。
- 如果用户是使用管理式华为帐号登录,请联系管理员在管理中心重置密码。
Q:用户登录OrgID时提示用户状态异常。
A:
- 管理员登录管理中心。
- 进入“成员部门管理 > 成员管理”,检查用户状态是否是正常或者未激活状态。
图1 用户状态
- 如果显示“正常”或“未激活”,进入“审计日志 > 登录登出日志”,通过审计日志追溯用户操作记录。
如果显示“已冻结”,可以单击“操作”列“更多 > 解冻”解冻帐户,用户即可正常登录OrgID。
Q:从OrgID跳转到Huawei ID失败。
A:
- 组织创建者或组织管理员登录管理中心。
- 进入“审计日志 > 登录登出日志”排查访问日志,是否返回401或者500。
- 如果返回401,可能是Huawei ID没有给OrgID授权访问,请联系Huawei ID侧进行授权。
- 如果返回500,则可能出现跨域访问,请联系Huawei ID侧进行配置。
Q:登录控制台后跳转至OrgID界面提示:网络未连接,请检查网络设置。
A:检查网络连接的代理是否是国内的代理,国外的代理无法访问,切换成国内代理重新打开网页即可。
2、应用发布
Q:管理员发布应用后,用户无法访问应用首页。
A:
- 管理员登录管理中心。
- 进入“应用管理”。
- 在应用列表中找到对应的应用,单击“操作”列“配置”进入应用配置页面。
- 检查用户的授权或访问控制。
- 检查授权管理:在“授权管理”页签下,检查该用户是否被授权。若没有授权,可根据需要授予用户相应权限。
- 检查访问控制:在“访问控制”页签下,检查是否开起了访问策略,查看用户是否被访问策略拦截,并根据需要选择是否重新设置访问策略。
Q:应用数据同步ISV异常。
A:
- 管理员登录管理中心。
- 进入“应用管理”。
- 在应用列表中找到对应的应用,单击“操作”列“配置”进入应用配置页面。
- 检查“同步集成”页签下查询同步记录。
图1 同步记录
根据错误进行处理,常见情况如下:
-
-
- 目标地址不可达:同步URL配置不正确或者被防火墙拦截,和ISV服务提供商进行确认。
- 签名非法:检查签名秘钥配置是否一致。
- 异常响应:联系ISV进行错误确认。
-
Q:用户无法使用三方认证源登录应用。
A:
- 组织创建者或组织管理员登录管理中心。
- 进入“认证管理 > 认证源管理”。
- 找到应用关联的认证源,单击“操作”的“查看详情”。
- 检查三方认证源配置的信息是否正确。若信息有误,可单击“操作”列的“更新”修改参数。
3、成员管理
Q:用户登录OrgID时提示用户状态异常。管理员添加成员失败。
A:如果页面提示管理员没有权限,可能是管理员的帐号管理权限未成功同步,导致权限未生效。具体步骤如下:
- 组织创建者或组织管理员登录管理中心。
- 选择左侧导航栏的“权限与审批 > 权限管理”。
- 找到相应角色,如:部门管理员。单击“操作”列的“添加成员”重新授权相应角色给用户即可。
Q:管理员在管理中心添加成员后看不到用户数据。
A:
- 组织创建者或组织管理员登录管理中心。
- 进入“审计日志 > 管理操作日志”页面,检查系统接口日志,查看是否有异常。
Q:如果成员的管理式华为帐号密码忘记了,怎么重置?
A:联系管理员进行重置密码。具体操作如下:
- 管理员登录管理中心。
- 选择左侧导航栏的“成员部门管理 > 成员管理”。
- 找到需要重置密码的成员,单击“操作”列的“重置密码”。
- 选择“自动生成密码”或“手动输入密码”,如果选择“手工输入密码”,需输入具体密码。密码设置完成后单击“确定”。
Q:管理员邀请个人华为帐号加入组织时,提示“华为帐号与帐号名不匹配,请重新输入”。
A:检查被邀请的华为帐号与帐号名是否一致,用户可以通过登录Huawei ID帐号中心查看帐号的具体信息。具体步骤如下:
- 登录华为帐号网站。
- 跳转进入“帐号中心”即可查看华为帐号与帐号名。
图1 帐号中心
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
了解更多 组织成员帐号:https://www.huaweicloud.com/product/orgid.html
- 点赞
- 收藏
- 关注作者
评论(0)