【FAQ合集】组织成员帐号OrgID 答疑合集

—— · 产品介绍 · ——

Q：华为帐号、华为云帐号和IAM帐号是啥区别，是用OrgID来管理的吗？

A：1. 整个华为集团的统一帐号就是华为帐号。
2. 华为云帐号，华为云账号原来是老的帐号，现在大部分帐号都已经切到华为帐号里了，还有一部分企业认证的帐号没有切。
3. IAM帐号，一般指的是IAM子用户，就是协助华为云上的主帐号（可能是华为帐号，也可能是华为云帐号）进行资源管理的帐号，就是子用户帐号。
我们现在管理的帐号主要是华为帐号，这个华为帐号又分为toB类帐号和toC类帐号。要强调一点，OrgID是应用帐号的治理，不是资源帐号的治理。

Q：OrgID与OneAccess有什么区别？

A：OrgID服务最主要的是作为一个底层服务，去服务于其他上层的业务。跟OneAccess最大的区别，它不是一个单独的服务去销售。
例如，云商店卖一个应用，统一认证，这时候并不是药先去买一个OrgID，再去买这个服务，它就是应用的一部分。
未来，我们还会在应用平台里面，构建这种帐号统一的一个工程出来。举个最简单的例子，可能我的每一个应用都会涉及到帐号，怎么去注册、怎么去登录、怎么去构建这个权限，这些东西都很麻烦，对吧？就是每个应用都要做。这时候我们的目标就是未来需要构建一个统一的工程，你只要选择这个工程，账号的注册登录、权限的管理全都给你做了，你就只要关注业务的代码就行了，关于这部分的能力你就不用管了。OrgID就全都给你做了，这样的一个理念，这些就是未来OrgID主要完成的事情。

—— · 应用场景 · ——

Q：OrgID适合哪些类型的应用？

A：目前我们注册的应用，主要是类似于h5这种web类的应用。SPA的应用现在也是支持的，那种单体应用、JS客户端，我们经常所说的通过开发框架做的轻应用，都是可以的。未来我们会做native的、APP或者PC端的应用，在规划里面会有。

Q：我们企业内已经有很多应用，现在每个系统都有账号密码，登录太麻烦，密码也容易忘，OrgID能解决这个问题吗？

A：这个是我们最主要解决的问题，就是组织类的用户帐号的统一。

—— · 信息安全 · ——

Q：怎样保障信息和账号安全？如果有一个账号泄露或被盗用了，其他账号会不会被影响？

A：我们整个帐号的认证都是基于华为ID的帐号，这个账号的安全认证有很多二次认证的能力。
假如说你首次登录，第一，如果是管理帐号，首次登陆时需要更改密码；第二，有二次认证，需要输入手机号、验证码；第三，浏览器要处于信任的状态，才不需要输入验证码。如果登录一个新设备的时候，同样都需要做手机验证码的登录，这部分的安全都跟华为云是一样的，都是由Huawei ID统一管理的。
如果一个账号泄露或被盗用，这个应该是风控的能力。华为ID现在有4~5亿用户，这部分的风控也有做。OrgID也是借助的这个能力，并不是自己去创造一套新的帐号体系出来，这个不符合公司的定位。

Q：OrgId如何做好平台间数据安全隔离？

A：1. OrgID云服务组织间是逻辑隔离
2. 用户访问的token会检验组织信息，避免越权
3. API访问授权存在多级：系统级(限制可用接口)、应用级来控制访问的范围（限定特定组织下应用）

—— · 产品使用 · ——

Q：orgID能管理同一手机号下注册的华为所有账号吗？

A：OrgID在管理时不是管理所有的帐号，只是引用了华为帐号认证源的数据。在登录页面上，您可以看到所有的帐号信息，下拉框会把你这个华为帐号注册的所有帐号信息都列出来。

Q：多域名是否可以绑定一个OrgID？因为老师在前面说一个组织配置一个自己域名，实际有些企业有多个一级域名，指向同一个应用，目前可兼容

A：组织的域名是用来识别组织成员的帐号，如zhangsan@test.huaweiapaas.com，这里的test.huaweiapaas.com就是这个组织域名，张三用这个帐号来登录组织下的应用
当前不能通过这个域名访问这个组织的下应用，这个属于DNS路由功能

—— · 操作指导 · ——

1、登录失败

Q：输入用户名、密码后提示异常

A：请使用华为帐号直接访问Huawei ID，检查是否可以正常登录。若不能：

• 如果用户是使用个人华为帐号登录，请选择“忘记密码”尝试重新找回密码。
• 如果用户是使用管理式华为帐号登录，请联系管理员在管理中心重置密码。

Q：用户登录OrgID时提示用户状态异常。

A：

1. 管理员登录管理中心。
2. 进入“成员部门管理 > 成员管理”，检查用户状态是否是正常或者未激活状态。

   图1 用户状态

   

3. 如果显示“正常”或“未激活”，进入“审计日志 > 登录登出日志”，通过审计日志追溯用户操作记录。

   如果显示“已冻结”，可以单击“操作”列“更多 > 解冻”解冻帐户，用户即可正常登录OrgID。

Q：从OrgID跳转到Huawei ID失败。

A：

1. 组织创建者或组织管理员登录管理中心。
2. 进入“审计日志 > 登录登出日志”排查访问日志，是否返回401或者500。
   • 如果返回401，可能是Huawei ID没有给OrgID授权访问，请联系Huawei ID侧进行授权。
   • 如果返回500，则可能出现跨域访问，请联系Huawei ID侧进行配置。

Q：登录控制台后跳转至OrgID界面提示：网络未连接，请检查网络设置。

A：检查网络连接的代理是否是国内的代理，国外的代理无法访问，切换成国内代理重新打开网页即可。

2、应用发布

Q：管理员发布应用后，用户无法访问应用首页。

A：

1. 管理员登录管理中心。
2. 进入“应用管理”。
3. 在应用列表中找到对应的应用，单击“操作”列“配置”进入应用配置页面。
4. 检查用户的授权或访问控制。
   • 检查授权管理：在“授权管理”页签下，检查该用户是否被授权。若没有授权，可根据需要授予用户相应权限。
   • 检查访问控制：在“访问控制”页签下，检查是否开起了访问策略，查看用户是否被访问策略拦截，并根据需要选择是否重新设置访问策略。

Q：应用数据同步ISV异常。

A：

1. 管理员登录管理中心。
2. 进入“应用管理”。
3. 在应用列表中找到对应的应用，单击“操作”列“配置”进入应用配置页面。
4. 检查“同步集成”页签下查询同步记录。

   图1 同步记录

   

5. 根据错误进行处理，常见情况如下：

• • • 目标地址不可达：同步URL配置不正确或者被防火墙拦截，和ISV服务提供商进行确认。
    • 签名非法：检查签名秘钥配置是否一致。
    • 异常响应：联系ISV进行错误确认。

      
      

Q：用户无法使用三方认证源登录应用。

A：

1. 组织创建者或组织管理员登录管理中心。
2. 进入“认证管理 > 认证源管理”。
3. 找到应用关联的认证源，单击“操作”的“查看详情”。
4. 检查三方认证源配置的信息是否正确。若信息有误，可单击“操作”列的“更新”修改参数。

3、成员管理

Q：用户登录OrgID时提示用户状态异常。管理员添加成员失败。

A：如果页面提示管理员没有权限，可能是管理员的帐号管理权限未成功同步，导致权限未生效。具体步骤如下：

1. 组织创建者或组织管理员登录管理中心。
2. 选择左侧导航栏的“权限与审批 > 权限管理”。
3. 找到相应角色，如：部门管理员。单击“操作”列的“添加成员”重新授权相应角色给用户即可。

Q：管理员在管理中心添加成员后看不到用户数据。

A：

1. 组织创建者或组织管理员登录管理中心。
2. 进入“审计日志 > 管理操作日志”页面，检查系统接口日志，查看是否有异常。

Q：如果成员的管理式华为帐号密码忘记了，怎么重置？

A：联系管理员进行重置密码。具体操作如下：

1. 管理员登录管理中心。
2. 选择左侧导航栏的“成员部门管理 > 成员管理”。
3. 找到需要重置密码的成员，单击“操作”列的“重置密码”。
4. 选择“自动生成密码”或“手动输入密码”，如果选择“手工输入密码”，需输入具体密码。密码设置完成后单击“确定”。

Q：管理员邀请个人华为帐号加入组织时，提示“华为帐号与帐号名不匹配，请重新输入”。

A：检查被邀请的华为帐号与帐号名是否一致，用户可以通过登录Huawei ID帐号中心查看帐号的具体信息。具体步骤如下：

1. 登录华为帐号网站。
2. 跳转进入“帐号中心”即可查看华为帐号与帐号名。

   图1 帐号中心

   

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

了解更多 组织成员帐号：https://www.huaweicloud.com/product/orgid.html