一、 华为账号概念

OrgID 的基础是基于华为账号。华为账号可以分为个人华为账号和管理式华为账号。

• 个人华为帐号：个人华为帐号是 ToC 类帐号，帐号由个人在华为集团帐号系统申请获得，包括通过终端设备、华为云渠道、消费者应用等，该类帐号可以通过邀请方式加入组织。
• 管理式华为帐号：管理式华为帐号是 ToB 类帐号，由组织的管理员添加生成，该帐号只归属于本组织所有，不可以加入其他组织。

个人的账号可以创建出一个或多个组织出来，组织下面可以有多个账号，组织下的账号可以是个人账号也可以是管理账号。ToB 账号是由管理员添加，只能在这个组织下使用，离开这个组织就不能使用。

二、 华为账号与Huawei OrgID 之间关系

Huawei OrgID 是基于 Huawei ID 构建的，Huawei OrgID 是 Huawei ID 的一个认证源。Huawei OrgID 最重要的是把组织内的用户管理起来，默认使用的是 Huawei ID 的认证，也支持组织内的其他认证源，这样就可以把第三方的用户管理起来。

Huawei OrgID 负责华为云企业业务管理：包括企业的组织管理（扩展）、部门管理、成员部门关系管理、应用授权管理、三方认证源及业务域权限管理等服务。

Huawei ID 产品负责 ID 身份认证：包括登录（用户认证）、组织生命周期管理、成员生命周期管理、账号域权限管理等服务。

三、 Huawei OrgID 应用场景

• 解决云商店 SAAS 应用、license 应用统一账号的问题
• 解决企业应用的用户统一授权、统一访问控制的功能
• 建立业务账号与华为云账号访问统一的诉求

四、 组织管理

4.1 组织管理——“4统一”

统一组织：

• 企业组织的统一管理
• 组织管理：单位管理，部门管理，群组管理
• 单位管理：单位的增删改查
• 部门管理：部门的增删改查
• 群组管理：群组的增删改查

统一账号

• SAAS 应用单点登录
• 多协议支持（单点登录）
• 冻结/解冻
• 密码重置

统一用户

• 企业内部应用管理
• 用户管理：用户新增，修改，删除
• 三方认证源用户管理

统一授权

• SAAS 应用用户访问授权
• SAAS 应用认证方式配置
• 应用用户同步
• API 授权管理

4.2 创建组织

• 组织由已完成实名认证的个人华为账号创建，此账号默认为组织创建者（拥有组织的最高管理权限）
• 一个个人华为账号可以创建多个组织，默认最多创建5个（可配置）
• 为用户创建组织提供两种方案：

•     使用组织自有的域名创建组织
•     使用华为提供的免费域名创建组织，用户需设置组织简称组织之间数据通过组织 ID 进行隔离，组织 ID 唯一，一个域名只能归属一个组织

4.3 创建用户

• 管理员可以创建用户，创建部门
• 一个组织可以有多个部门，一个部门下可以有多个用户
• 用户分为三类用户：ToC 用户、ToB 用户和来宾用户，管理员可以重置 ToB 类用户的密码
• 用户创建成功后，初始状态为未激活，登录成功后，状态变更为正常，ToB 用户的账号可以冻结
• ToC 类用户通过成员邀请加入组织

4.4 创建应用（2-1）

• 应用分为三种：内置应用、订阅应用、自建应用
• 应用认证可以采用多种方式：oAuth，CAS，SAML，OIDC
• 支持同步账号到 ISV，同步的内容包括：组织信息、部门信息、授权用户信息
• 应用可以支持三方认证源

4.5 创建应用（2-2）

• 查看可以访问应用的用户列表（授权用户）
• 授权访问范围可以自定义，对于敏感数据默认不授权访问、同步给 ISV，并手动同意
• 授权访问存在两种：全员可见或自定义可见
• 访问策略：访问或拒绝，条件可以是时间、IP 或 IP 段

五、 应用模板

• 支持 ISV 自定义应用模板，应用模板可以被实例化
• 应用模板被组织订购后，即实例化，与组织形成订购关系
• 逻辑多租户时，用户加入多个组织时，用户可以选择组织，如果用户只加入一个组织，直接访问该组织下应用
• 应用模板的更改，订阅该模板组织应用都会同步更改

六、 应用场景

6.1 场景1：组织应用账号统一

• 企业组织的统一：组织统一、用户统一、账号统一、授权统一
• 解决企业内部多个应用间账号独立的问题，企业用户使用一个账号，可以登录所有授权的应用
• 融合 ToB 账号、ToC 账号用于组织的统一账号管理

6.2 场景2： 三方认证源登录应用场景

• 允许您的用户通过第三方访问华为云服务。身份来自由第三方身份提供商进行身份验证的用户的 IdP 令牌（如果式匿名来访者，则不需要令牌）
• 三方认证源，包括社交认证源：WeLink、钉钉、企业微信、企业认证源（oAuth，CAS，OIDC，SAML）
• 统一管理多种认证源的用户

6.3 场景3： 单点登录场景——应用间免登，包括 APP 内跳转轻应用

• WEB 门户应用：这个门户类应用显示组织内多个应用，成功登录这个门户应用后，门户内应用都可以直接进入而无须二次登录
• APP 类门户应用：应用中显示组织内多个应用，成功登录应用后，点击其他原因，无须二次登录
• 建立业务账号与华为账号访问统一的诉求
• 域名匹配免登：直接访问应用下子菜单，应用如果已经登录，可以直接访问，而无须二次登录

6.4 场景4：应用账号访问华为云

• 租户在华为云通过云服务来开通联邦认证
• 企业用户提供 OrgID 应用后，可以直接免登访问华为云，访问华为云的权限由联邦认证的用户组权限控制
• OrgID 将授予可用来访问其他华为云服务的联邦凭证

6.5 场景5： 用户主动访问邀请审批加入

用户发送授权申请，由管理员/运营人员进行审核。

管理员/运营人员同意后，自动授权用户访问。

七、 OrgID 的开放能力

OrgID 的开放性主要分为三个方面：用户侧、管理员和开放形式，详细内容如下图：

八、 账号统一同步规范

账号信息同步给第三方系统的账号同步规范主要通过四个方面进行规范：

• 租户信息同步
• 租户应用信息同步
• 租户应用授权信息同步
• 组织部门信息

租户信息同步：买家购买联营SaaS商品后，在买家中心登录，将应用与企业绑定时，云商店调用该接口请求商家同步该企业的租户信息，商家接口需要执行租户同步，保存租户信息，并返回通知云商店。

租户应用信息同步：买家购买联营SaaS类应用后，在买家中心登录，将应用与企业绑定时，云商店调用该接口请求商家同步该企业应用的认证信息，商家接口需要执行应用同步，保存应用信息，并返回通知云商店。

租户应用授权信息同步：管理员被授权管理某企业后，在买家中心登录，对企业内用户授权该企业已绑定的应用，云商店异步调用该接口请求商家同步该企业应用的用户授权信息，商家接口需要执行授权信息同步，保存用户授权信息，并返回通知云商店。

组织部门信息：管理员被授权管理某企业后，在买家中心登录，对管理的企业执行新建、编辑、删除部门操作时，云商店调用该接口，请求商家同步该企业的组织增量变更；商家接口需要执行增量组织信息同步，保存信息，并返回通知云商店。

九、 总结

OrgID 基于终端云庞大的Huawei ID的基础，使用Huawei ID认证解决企业用户认证及注册体验的问题。解决企业存在多种认证源的问题。

本文参与华为云社区【内容共创】活动第23期 。

任务22：《相约开天 aPaaS 》第五期 华为云 OrgID ，实现企业内部应用帐号四统一