华为云用户手册

URI URI格式 POST https://{Endpoint}/gaussdb/v3/{project_id}/instances/{instance_id}/action URI样例 https://gaussdb-opengauss.cn-north-1.myhuaweicloud.com/opengauss/v3/0483b6b16e954cb88930a360d2c4e663/instances/dsfae23fsfdsae3435in01/action 参数说明 表1 参数说明 名称 是否必选 说明 project_id 是 租户在某一region下的project ID。 获取方法请参见获取项目ID/名称。 instance_id 是 实例ID。

URI URI格式 PUT https://{Endpoint}/gaussdb/v3/{project_id}/instances/{instance_id}/name URI样例 https://gaussdb-opengauss.cn-north-1.myhuaweicloud.com/opengauss/v3/0483b6b16e954cb88930a360d2c4e663/instances/dsfae23fsfdsae3435in14/name 参数说明 表1 参数说明 名称 是否必选 说明 project_id 是 租户在某一region下的project ID。 获取方法请参见获取项目ID/名称。 instance_id 是 实例ID。

URI URI格式 POST https://{Endpoint}/gaussdb/v3/{project_id}/instances/{instance_id}/password URI样例 https://gaussdb-opengauss.cn-north-1.myhuaweicloud.com/opengauss/v3/0483b6b16e954cb88930a360d2c4e663/instances/dsfae23fsfdsae3435in01/password 参数说明 表1 参数说明 名称 是否必选 说明 project_id 是 租户在某一region下的project ID。 获取方法请参见获取项目ID/名称。 instance_id 是 实例ID。

URI URI格式 DELETE https://{Endpoint}/opengauss/v3/{project_id}/instances/{instance_id} URI样例 https://gaussdb-opengauss.cn-north-1.myhuaweicloud.com/opengauss/v3/0483b6b16e954cb88930a360d2c4e663/instances/dsfae23fsfdsae3435in01 参数说明 表1 参数说明 名称 是否必选 说明 project_id 是 租户在某一region下的project ID。 获取方法请参见获取项目ID/名称。 instance_id 是 实例ID。

请求示例 设置gaussdb_test数据库多个账号的权限。 { "db_name" : "gaussdb_test", "users" : [ { "name" : "rds", "readonly" : false, "schema_name" : "teste123" }, { "name" : "rds001", "readonly" : true, "schema_name" : "teste134" }, { "name" : "rds002", "readonly" : false, "schema_name" : "teste135" } ] }

IAM的优势 对华为云的资源进行精细访问控制 您注册华为云后，系统自动创建账号，账号是资源的归属以及使用计费的主体，对其所拥有的资源具有完全控制权限，可以访问华为云所有的云服务。 如果您在华为云购买了多种资源，例如弹性云服务器、云硬盘、裸金属服务器等，您的团队或应用程序需要使用您在华为云中的资源，您可以使用IAM的用户管理功能，给员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录华为云。IAM用户的作用是多用户协同操作同一账号时，避免分享账号的密码。 除了IAM外，还有企业管理服务同样可以进行资源权限管理，相对于IAM，企业管理对资源的控制粒度更为精细，同时还支持企业项目费用的管理，建议结合企业需求选择IAM或是企业管理进行资源权限管理，关于两者的详细区别，请参见：IAM与企业管理的区别。

约束与限制 IAM中的用户数、用户组数等有限定的配额， 其中“是否支持修改”列标示“√”的，表示该限制项可以修改。如果当前资源配额无法满足业务需要，您可以申请扩大配额，具体方法请参见：如何修改配额。 限制分类 限制项 限制值 是否支持修改 用户 IAM用户数 50 √ 用户名的字符数 32 x 用户可加入的用户组数 10 x 用户可创建的访问密钥（AK/SK）数 2 x 用户可绑定的虚拟MFA设备数 1 x 一个用户基于企业项目可绑定的权限数（包括系统权限和自定义策略） 500 √ 用户组 用户组数 20 √ 用户组名的字符数 128 x 一个用户组中可添加的用户数 账号下的IAM用户数 x 一个用户组基于IAM项目可绑定的权限数（包括系统权限和自定义策略） 200 √ 一个用户组基于企业项目可绑定的权限数（包括系统权限和自定义策略） 500 √ 项目 项目数 10 √ 策略 策略名称的字符数 128 x 自定义策略 自定义策略个数 200 √ 字符数 6144 x Statement 无限制 x Action 无限制 x Resource 无限制 x Condition 无限制 x 委托 委托数 50 √ 委托名称的字符数 64 x 一个委托可绑定的权限数（包括系统权限和自定义策略） 200 √ 身份提供商 数量 10 √ 名称字符数 64 x 账号中所有身份提供商的映射规则总数 10 √

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

用户组 用户组是IAM用户的集合，IAM可以通过用户组功能实现用户的授权。您创建的IAM用户，加入特定用户组后，将具备对应用户组的权限。当某个IAM用户加入多个用户组时，此IAM用户同时拥有多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图3 用户组与用户

权限 权限根据授权的精细程度，分为策略和角色。 角色：角色是IAM最初提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。 角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：策略是IAM最新提供的一种细粒度授权的能力，可以精确到具体操作、资源、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器的资源进行指定的管理操作。策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项，称为系统策略。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM，管理员可以通过给对应云服务提交工单，申请该服务在IAM预置权限。 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图两种自定义策略配置方式。 图4 权限内容示例

身份凭证 身份凭证是识别用户身份的依据，您通过控制台或者API访问华为云时，需要使用身份凭证来通过系统的鉴权认证。身份凭证包括密码和访问密钥，您可以在IAM中管理账号以及账号下IAM用户的身份凭证。 密码：常见的身份凭证，密码可以用来登录控制台，还可以调用API接口。 访问密钥：即AK/SK（Access Key ID/Secret Access Key），调用API接口的身份凭证，不能登录控制台。访问密钥中具有验证身份的签名，通过加密签名验证可以确保机密性、完整性和请求双方身份的正确性。

虚拟MFA 虚拟MFA（Multi-Factor Authentication，简称MFA），是一款能产生6位数字认证码的应用程序，遵循基于时间的一次性密码 （Time-Based One-Time Password，TOTP）标准。MFA设备可以基于硬件也可以基于软件，华为云目前仅支持基于软件的虚拟MFA，即虚拟MFA应用程序，可以在移动硬件设备（包括智能手机）上运行，获取认证码并进行身份认证。关于虚拟MFA的详细使用方法请参考：虚拟MFA。

请求消息 请求参数 无。 请求示例 GET https://bss.myhuaweicloud.com/v2/bills/partner-bills/subcustomer-bills/res-fee-records?customer_id=06a29ceaae80d2400fc0c01027684d40&cycle=2020-04&cloud_service_type=hws.service.type.ec2®ion=cn-north-1&charge_mode=1&bill_type=1&offset=0&limit=10&resource_id=f4a7ed17-dcbd-4554-b26b-248ea46c056a&include_zero_record=true&indirect_partner_id=c9e731c4663646988ef4cdb3122837b6 HTTP/1.1 Content-Type: application/json X-Auth-Token：MIIPAgYJKoZIhvcNAQcCo...ggg1BBIINPXsidG9rZ

URI GET /v2/bills/partner-bills/subcustomer-bills/res-fee-records 参数说明请参见表1-1。 表1 查询参数 参数 是否必选 参数类型 取值范围 描述 customer_id 是 String 最大长度：64 客户账号ID。您可以调用查询客户列表接口获取customer_id。 cycle 是 String 最大长度：10 查询的客户消费记录所在账期，格式：YYYY-MM。 charge_mode 是 String 最大长度：4 计费模式。 1 : 包年/包月 3：按需 10: 预留实例 cloud_service_type 否 String 最大长度：64 云服务类型编码，例如OBS的云服务类型编码为“hws.service.type.obs”。您可以调用查询云服务类型列表接口获取。 此参数不携带或携带值为空时，不作为筛选条件；携带值为空串时，作为筛选条件。 region 否 String 最大长度：64 云服务区编码，例如：“cn-north-1”。具体请参见地区和终端节点对应云服务的“区域”列的值。 此参数不携带或携带值为空时，不作为筛选条件；携带值为空串时，作为筛选条件。 bill_type 否 Integer - 账单类型。 1：消费-新购 2：消费-续订 3：消费-变更 4：退款-退订 5：消费-使用 8：消费-自动续订 9：调账-补偿 14：消费-服务支持计划月末扣费 16：调账-扣费 18：消费-按月付费 20：退款-变更 此参数不携带或携带值为空时，不作为筛选条件；携带值为空串时，作为筛选条件。 offset 否 Integer [0-最大整数] 偏移量，从0开始。默认值为0。 说明： offset用于分页处理，如不涉及分页，请使用默认值0。offset表示相对于满足条件的第一个数据的偏移量。如offset = 1，则返回满足条件的第二个数据至最后一个数据。 示例1，满足查询条件的结果共10条数据，limit取值为10，offset取值为1，则返回的数据为2~10，第一条数据不返回。 示例2，查询总数20条，期望每页返回10条数据，则获取第一页数据，入参offset填写0，limit填写10；获取第二页数据，入参offset填写10，limit填写10。 limit 否 Integer [1-1000] 每次查询的数量限制。默认值为10。 resource_id 否 String 最大长度：64 资源ID。 此参数不携带时，不作为筛选条件；携带值为空串或携带值为空时，作为筛选条件。 include_zero_record 否 Boolean - 返回是否包含应付金额为0的记录。 true：包含 false：不包含 此参数不携带或携带值为空时，不作为筛选条件；携带值为空串时，作为筛选条件。 indirect_partner_id 否 String 最大长度：64 云经销商ID。获取方法请参见查询云经销商列表。 如果华为云总经销商需要查询客户在云经销商关联期间的消费，需要携带该字段；除此之外，此参数不做处理。否则只能查询该客户在与自己关联期间的消费。 bill_date_begin 否 String 最大长度：20 查询的资源消费记录的开始日期，格式为YYYY-MM-DD。 此参数不携带或携带值为空或携带值为空串时，默认值取cycle月份的第一天。 说明： 必须和cycle（即资源的消费账期）在同一个月。 bill_date_end 否 String 最大长度：20 查询的资源消费记录的结束日期，格式为YYYY-MM-DD。 此参数不携带或携带值为空或携带值为空串时，默认值取cycle月份的最后一天。 说明： 必须和cycle（即资源的消费账期）在同一个月。 bill_date_begin和bill_date_end两个参数必须同时出现，否则仅按照cycle（即资源的消费账期）进行查询。

状态码 状态码4xx：由于明显的客户端错误（例如，格式错误的请求语法、参数错误等），华为云会返回4xx错误码，请及时检查请求消息的正确性，重新发起请求。 状态码5xx：由于华为云系统原因，导致无法完成明显有效请求的处理，可及时联系华为云客服处理。 HTTP状态码 错误码 错误描述 400 CBC.0100 参数错误。 400 CBC.99000035 非合作伙伴子客户。 400 CBC.99005030 伙伴未开通实名认证功能或者桶鉴权失败。 开启实名认证附件上传配置请参见这里。 400 CBC.99007004 发起的业务操作存在不满足的业务检查项。 400 CBC.99007188 该客户已经实名认证或者实名认证在审核中。 400 CBC.99007191 客户实名认证次数超过最大配置值。 400 CBC.70600026 抱歉，华为云暂无法审核您提交的实名认证信息，请联系您的客户经理协助。 403 CBC.0151 访问拒绝。 500 CBC.0999 未知错误。

响应消息 响应参数 参数 参数类型 取值范围 描述 error_code String 最大长度：16 状态码。具体请参考状态码。只有失败才会返回这个参数。 error_msg String 最大长度：1024 错误描述信息。只有失败才会返回这个参数。 check_result String 最大长度：32 available：该登录名称/手机号/邮箱有效。 used_by_user：该登录名称/手机号/邮箱已被占用。 响应示例 HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Content-Length: length Date: response time { "error_code": "CBC.0000", "error_msg": "success", "check_result": "available" }

请求消息 请求参数 参数 是否必选 参数类型 取值范围 描述 search_type 是 String [email|mobile|name] 该字段内容可填为：“email”、“mobile”或“name”。 search_value 是 String 最大长度：64 手机号、邮箱或登录名称。 手机号需符合正则表达式 ^\d{4}-\d+$；包括国家码，以00开头，格式：00XX-XXXXXXXX。目前手机号仅支持以86开头的国家码。 邮箱需为含有@的正确格式的完整邮箱地址。 name：符合正则表达式^([a-zA-Z-]([a-zA-Z0-9_-]){4,31})$，长度5-32；不能以“op_”或“shadow_”开头且不能全为数字，且只能以字母（不区分大小写）或者-开头。 请求示例 POST https://bss.myhuaweicloud.com/v2/partners/sub-customers/users/check-identity HTTP/1.1 Content-Type: application/json X-Auth-Token：MIIPAgYJKoZIhvcNAQcCo...ggg1BBIINPXsidG9rZ { "search_type": "name", "search_value": "ceshiyonghu001" }

状态码 状态码4xx：由于明显的客户端错误（例如，格式错误的请求语法、参数错误等），华为云会返回4xx错误码，请及时检查请求消息的正确性，重新发起请求。 状态码5xx：由于华为云系统原因，导致无法完成明显有效请求的处理，可及时联系华为云客服处理。 HTTP状态码 错误码 错误描述 400 CBC.0100 参数错误。 403 CBC.0151 访问拒绝。 400 CBC.99005003 余额不足。 500 CBC.99007461 您当前存在尚未完成的拨款或回收任务，请稍后再试。 500 CBC.7001 企业主账号与子账号不存在关联，不能直接向企业子账号拨款。 500 CBC.7004 发起的业务操作存在不满足的业务检查项。 500 CBC.7181 划拨或回收的信用额度的有效期已过期。 500 CBC.0999 其他错误。

请求消息 请求参数 参数 是否必选 参数类型 取值范围 描述 transId 否 String 最大长度：64 交易序列号，用于防止重复提交。 如果接口调用方不传此参数的值，则系统自动生成。 如果接口调用方传入此参数的值，请采用UUID保证全局唯一。 此参数不携带或携带值为null或携带值为空串时，由系统自动生成。 balanceType 否 String 最大长度：64 账户类型： BALANCE_TYPE_DEBIT：余额账户（默认）； BALANCE_TYPE_CREDIT：信用账户。 此参数不携带或携带值为null时，默认为余额账户；不支持携带值为空串。 subCustomerId 是 String 最大长度：64 企业子账号的客户ID。 deductMode 是 String 最大长度：10 资金扣减模式。 1：服务端按金额扣减。 totalTransferAmount 是 String 最大长度：32 现金账户总划拨金额。 单位：元。取值大于0且精确到小数点后2位。 expireTime 否 String 最大长度：20 账户到期时间，UTC时间，格式为：2016-03-28T14:45:38Z。 暂只对信用账户有效，用于限制针对有效期到期时间等于该时间的信用账户余额进行拨款，精确到秒。如果查询信用账户可拨款余额的查询结果没有失效时间，表示永久有效，对于这种账本拨款的时候不用填写。 当信用账户存在过期时间，该字段必须携带，不支持携带值为空串或携带值为null，否则拨款失败； 当信用账户不存在过期时间，该字段无需携带，不支持携带值为空串，否则拨款失败。 请求示例 POST https://bss.myhuaweicloud.com/v1.0/{domain_id}/customer/account-mgr/transfer HTTP/1.1 Content-Type: application/json X-Auth-Token：MIIPAgYJKoZIhvcNAQcCo...ggg1BBIINPXsidG9rZ { "balanceType": "BALANCE_TYPE_DEBIT", "subCustomerId": "165****e7e", "deductMode": "1", "totalTransferAmount":"2", "expireTime": "2018-12-31T15:59:59Z" }

状态码 状态码4xx：由于明显的客户端错误（例如，格式错误的请求语法、参数错误等），华为云会返回4xx错误码，请及时检查请求消息的正确性，重新发起请求。 状态码5xx：由于华为云系统原因，导致无法完成明显有效请求的处理，可及时联系华为云客服处理。 HTTP状态码 错误码 错误描述 400 CBC.0100 参数错误。 403 CBC.0151 访问拒绝。 500 CBC.0999 其他错误。 400 CBC.99000043 企业主账号向企业子账号拨款/回收失败。 400 CBC.99005003 余额不足。 400 CBC.99007004 发起的业务操作存在不满足的业务检查项。 400 CBC.99007009 交易事务ID重复。 400 CBC.99007181 划拨或回收的信用额度的有效期已过期。 400 CBC.99007461 您当前存在尚未完成的拨款或回收任务，请稍后再试。

请求消息 请求参数 参数 是否必选 参数类型 取值范围 描述 customer_id 是 String 最大长度：64 企业子账号的客户ID。您可以调用查询企业子账号列表接口，获取响应参数“id”的返回值。 amount 是 String 最大长度：32 现金账户总划拨金额。 单位：元。取值大于0且精确到小数点后2位。 trans_id 否 String 最大长度：32 交易序列号，用于防止重复提交。 如果接口调用方不传此参数的值，则系统自动生成。 如果接口调用方传入此参数的值，请采用UUID保证全局唯一。 此参数不携带或携带值为null或携带值为空串时，由系统自动生成。 balance_type 否 String 最大长度：64 账户类型： BALANCE_TYPE_DEBIT：余额账户（默认） BALANCE_TYPE_CREDIT：信用账户 此参数不携带或携带值为null时，默认为余额账户；不支持携带值为空串。 expire_time 否 String 最大长度：20 账户到期时间，UTC时间，格式为：2016-03-28T14:45:38Z。 只对信用账户有效，用于限制针对有效期到期时间等于该时间的信用账户余额进行拨款，精确到秒。如果查询信用账户可拨款余额的查询结果没有失效时间，表示永久有效，对于这种账本拨款的情况无需填写。 当信用账户存在过期时间，该字段必须携带，不支持携带值为空串或携带值为null，否则拨款失败； 当信用账户不存在过期时间，该字段无需携带，不支持携带值为空串，否则拨款失败。 请求示例 POST https://bss.myhuaweicloud.com/v2/enterprises/multi-accounts/transfer-amount HTTP/1.1 Content-Type: application/json X-Auth-Token：MIIPAgYJKoZIhvcNAQcCo...ggg1BBIINPXsidG9rZ { "customer_id": "06a29c********400fc0c01027684d40", "amount": "100", "trans_id": "2020042401", "balance_type": "BALANCE_TYPE_DEBIT", "expire_time": "2020-05-28T14:45:38Z" }

约束与限制 OrgID系统存在如下约束： OrgID默认认证源是华为帐号，其帐号分为个人帐号和管理式帐号。管理式帐号由管理员创建，只能归属于本组织，登录时只能使用帐号名登录，不能使用手机号或者邮箱地址登录。 华为帐号最多可以创建5个组织，可以申请组织配额，每次申请增加一个组织配额。 每个组织支持管理3个域名。 单个组织默认可以有200个成员，可以申请组织成员配额，每次申请增加100个成员配额，最大成员数不超过5000。 部门最大层级不超过5级，一个组织最多可以有999个部门。 OrgID当前只支持公有云，不支持HCS，伙伴云。 负责业务应用系统的统一认证，但应用的会话（与客户端的会话Session保持）不在OrgID管理范围。

权限管理 OrgID系统提供权限管理，主要分为四种角色：超级管理员、组织管理员、部门管理员、普通用户。而OrgID云服务开通的相关权限受华为云IAM控制， IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 表1列出了OrgID常用操作与系统角色的关系，您可以通过该表了解系统角色的操作权限。 表1 常用操作与系统角色的关系 操作 超级管理员 组织管理员 部门管理员 普通用户 创建组织 √ × × × 查看组织 √ √ √ × 修改组织信息 √ √ × × 申请配额 √ √ × × 添加域名 √ √ × × 验证域名 √ √ × × 移交组织 √ × × × 解散组织 √ × × × 创建部门 √ √ √ × 编辑部门 √ √ √ × 删除部门 √ √ √ × 查看部门 √ √ √ × 创建成员 √ √ √ × 邀请成员 √ √ √ × 批量导入成员 √ √ √ × 重置成员密码 √ √ √ × 冻结、解冻成员 √ √ √ × 移除成员 √ √ √ × 创建用户组 √ √ × × 编辑用户组 √ √ × × 删除用户组 √ √ × × 查看三方认证用户 √ √ × × 创建应用 √ √ √ × 配置应用 √ √ √ × 删除应用 √ √ √ × 查看应用 √ √ √ × 新增认证源 √ √ × × 更新认证源 √ √ × × 删除认证源 √ √ × × 查看认证源 √ √ × × 添加区域范围 √ √ × × 编辑区域范围 √ √ × × 删除区域范围 √ √ × × 查看区域范围 √ √ × × 查看登录登出日志 √ √ √（只能查看自己的登录登出日志） √（只能查看自己的登录登出日志） 查看管理操作日志 √ √ × × 查看数据报表 √ √ × × 导出数据报表 √ √ × × 修改审批状态 √ √ × × 查看角色 √ √ × × 创建角色 √ √ × × 添加角色成员 √ √ × × 添加用户属性配置 √ √ × × 修改用户属性配置 √ √ × ×

按需计量 定义 云商店联营SaaS商品支持按需计量：按需付费、按需套餐包2种计费方式。 按需付费：每个计费周期分别统计各资源的实际使用量，并根据使用量*单价的方式计算出费用，然后从账户余额中扣除对应金额。 按需费套餐包：客户开通按需付费后，可以先预付费按需套餐包，每个计费周期分别统计各资源的实际使用量，使用时优先扣除资源包中的额度，超出部分按“使用量*单价”方式计算出费用，然后从账户余额中扣除对应金额。

更多操作 用户组新建成功后，您还可以进行以下操作。 表1 用户组管理 操作名称 操作步骤 编辑用户组 单击待编辑用户组所在行“操作”列下的“编辑”。 修改用户组信息，单击“确认”。 说明： 仅限普通类型用户组可编辑，联邦认证的安全类型用户组不可编辑。 添加成员 单击待添加成员用户组所在行“操作”列下的“添加成员”。 勾选需要添加的成员，单击“确认”。 删除用户组 单击待删除用户组所在行“操作”列下的“删除”。 单击“确认”。 说明： 仅限普通类型用户组可删除，联邦认证的安全类型用户组不可删除。

步骤三：创建并授权应用 组织创建者或组织管理员在OrgID管理中心页面，选择左侧导航栏的“应用管理”。 单击“添加自建应用”。 输入应用名称，如“自建App”，上传应用图标、选择应用类型并设置应用负责人，如图2所示，单击“确定”。 图2 自建App 进入“认证集成”页签，根据实际情况选择认证集成方式：OAuth2、OIDC、SAML、CAS3，选择后不支持修改，此处选择“OAuth2”，单击“确定”。 图3 开启认证集成方式 配置首页URL、Access Token有效期、Refresh Token有效期等参数，单击“保存”。 图4 参数配置 进入“授权管理”页签。单击“授权设置”，在“授权设置”界面中选择被授权成员信息，单击“下一步”。 选择可用成员范围，此处选择“全员可用”，组织下所有成员即可在用户中心看到并使用该应用。 图5 授权设置

步骤二：创建并授权应用 管理员在OrgID管理中心页面，选择左侧导航栏的“应用管理”。 单击“添加自建应用”。 输入应用名称，如“自建App”，上传应用图标、选择应用类型并设置应用负责人，如图1所示，单击“确定”。 图1 自建App 进入“认证集成”页签，根据实际情况选择认证集成方式：OAuth2、OIDC、SAML、CAS3，选择后不支持修改，此处选择“OAuth2”，单击“确定”。 图2 开启认证集成方式 配置首页URL、Access Token有效期、Refresh Token有效期等参数，单击“保存”。 图3 参数配置 进入“授权管理”页签。单击“授权设置”，在“授权设置”界面中选择被授权成员信息，单击“下一步”。 选择可用成员范围，此处选择“全员可用”，组织下所有成员即可在用户中心看到并使用该应用。 图4 授权设置

步骤二：登录OrgID 成员访问OrgID。 输入管理式华为帐号的帐号名和密码。管理式华为帐号登录仅支持输入帐号名（xxxx@域名），首次登录需修改密码。 单击“登录”。成功登录后，根据帐号的权限不同，界面的呈现和可执行的操作不同，具体如下： 组织管理员：登录后显示用户中心，可切换至组织的管理中心，除不能进行创建组织和解散组织的操作外，其余权限与组织创建者一致。 部门管理员：登录后显示用户中心，可切换至组织的管理中心，拥有查看组织信息、管理成员部门、管理应用的操作权限。 普通用户：登录后只能访问组织的用户中心，可进行的操作请参见普通用户指南。

步骤二：创建并授权应用 管理员在OrgID管理中心页面，选择左侧导航栏的“应用管理”。 单击“添加自建应用”。 输入应用名称，如“自建App”，上传应用图标、选择应用类型并设置应用负责人，如图1所示，单击“确定”。 图1 自建App 进入“认证集成”页签，根据实际情况选择认证集成方式：OAuth2、OIDC、SAML、CAS3，选择后不支持修改，此处选择“OAuth2”，单击“确定”。 图2 开启认证集成方式 配置首页URL、Access Token有效期、Refresh Token有效期等参数，单击“保存”。 图3 参数配置 进入“授权管理”页签。单击“授权设置”，在“授权设置”界面中选择被授权成员信息，单击“下一步”。 选择可用成员范围，此处选择“全员可用”，组织下所有成员即可在用户中心看到并使用该应用。 图4 授权设置

操作步骤 开通OrgID并创建组织 开通OrgID。 创建组织。 添加部门及成员 （可选）添加部门，完善组织架构。 添加成员 创建成员，添加只属于该组织的成员。 邀请成员，将已拥有个人华为帐号的成员添加进组织。 创建并授权应用 创建自建应用，使用OAuth2方式进行认证集成，并为成员授权，具体操作请参见创建自建应用。 授权后，成员可访问该应用。 应用创建后，在“通用配置”页面获取Client_id、ClientSecret，如图1所示。 图1 接口认证凭证 在“登录配置”页面复制该应用的首页URL，如图2所示，并在应用的“登录配置”页面的首页URL地址中获取code（基于OAuth协议，OrgID给用户颁发的code）。 图2 首页URL 应用侧登录对接OrgID 调用获取AccessToken接口，使用code获取access_token，接口Body参数如表1所示。 表1 Body参数说明 参数名称 说明 grant_type 授权方式。该参数为固定值authorization_code。 code 授权码。使用3.c中获取的code。 client_id 创建应用后OrgID提供的client_id。使用3.b中获取的client_id。 client_secret 创建应用后OrgID提供的client_secret。使用3.b中获取的client_secret。 redirect_uri 配置code的接收地址，即创建自建应用时配置的首页URL。 调用获取用户信息接口，根据access_token获取登录用户的用户信息，其中接口Body的Authorization参数为4.a获取的access_Token。 调用/oauth/logout接口登出OrgID和应用，需要带上service参数（应用的登出地址），OrgID登出后会重定向到service地址。 调用/oauth/logout接口需在前端调用，在前端进行重定向至应用登出地址。