华为云用户手册

操作步骤 用户进入用户门户登录页面。 请联系企业管理员获取用户访问域名，如https://example.huaweioneaccess.com。 用户在登录页面选择“动态口令”登录。 默认为“用户名/邮箱”登录，输入用户名/邮箱和收到的动态口令。 选择“手机号登录”，输入手机号和动态口令验证码。 可选中“记住登录名”，单击“登录”。 【可选】勾选开启及配置用户协议中设置的用户协议，单击“同意并登录”。 当管理员开启了用户协议配置，具体操作请参考开启及配置用户协议，用户首次登录用户门户时必须勾选配置的协议。 当管理员修改了用户协议，具体参照请参考编辑协议，用户再次登录时必须勾选配置的协议。 在用户门户首页单击需要访问的应用LOGO即可进入应用。

查看用户组详情 在用户组列表中，单击用户组名称，可以查看用户组详情，包括管理成员、已授权应用和审计日志。若您想查看及操作动态用户组，请参考动态用户组。 管理成员，可查看用户组中用户的信息，如用户名、手机号、邮箱等。 在用户组详情页面的“管理成员”页签，单击用户组成员列表右上方“添加成员”，勾选需要加入的用户，即可将用户加入用户组。您还可以通过为用户组添加用户操作完成。 图1 添加成员 在用户组详情页面的“管理成员”页签，单击操作列的“删除”，可将用户从该用户组中删除。您还可以通过删除用户组操作完成。 已授权应用，用户组在已授权应用中的信息，包括应用图标、应用名称等。 单击应用操作列的“删除”后，应用中应用账号的授权策略会同步删除该用户组。对该用户组添加、删除成员操作将自动同步至应用中。具体可参考授权策略。 图2 删除已授权应用 审计日志 通过审计日志可以查看管理员对该用户组的操作，如创建、新增成员等。可根据时间、管理员用户名或姓名进行筛选。

同步状态说明 本节主要介绍同步完成后，各种状态的含义。方便您对异常状态进行排查定位。 以应用账号App_acc01、应用机构App_org01、原同步事件E0、新同步事件E1为例。 待处理 英文为“PENDING”，当应用账号App_acc01在生成新的同步事件E1时，如果该应用账号App_acc01之前的同步事件E0未执行完成，则生成的新事件E1的状态为待处理。 排队 英文为“QUEUING”，当应用账号App_acc01的同步事件E1可以执行时，会将该事件发送至Kafka执行消息队列，发送成功后，修改ES中存储的同步事件E1的状态为排队，表示该事件已成功加入执行队列。 发送 英文为“RUNNING”，当同步事件E1可执行时，在开始执行前将存储在ES中的同步事件E1的状态修改为RUNNING，修改成功后，调用下游应用系统的接口开始同步，表示该事件已成功处于运行状态。 成功 英文为“SUCCESS”，同步事件执行成功后，会将该事件的状态SUCCESS写入ES，表示该事件已执行成功。 失败 英文为“FAILURE”，同步事件执行失败后，会将该事件的状态FAILURE写入ES，表示该事件已执行失败。 忽视 英文为“IGNORED”，该状态涉及2种场景： 当应用账号 App_acc01 在执行一个更新的同步事件时，如果发现后续有新的更新事件，则直接忽视该事件，并执行新的更新事件。 执行全量同步时，会忽视之前所有的同步事件。 略过 英文为“SKIPPED”，该状态暂时未使用。 挂起 英文为“WAITING”，当应用账号App_acc01对应用机构App_org01存在依赖关系时，应用机构App_org01未同步成功，则该机构下应用账号App_acc01的所有同步事件状态为挂起。

代码规则 在编写映射脚本时，OneAccess对脚本做了一些限制。包括禁止使用Java class、限制使用CPU的时间、限制内存的使用量、限定脚本格式、限制使用部分函数。 禁止使用Java class。 如果使用下面的代码： var File = Java.type('java.io.File'); File; 会抛出下面的异常： java.lang.ClassNotFoundException: java.io.File 限制使用CPU的时间。 默认限制执行时间为1秒，超过时间将抛出异常。 如果使用下面的代码： do{}while(true); 会抛出下面的异常： ScriptCPUAbuseException 限制内存的使用量。 默认大小为10M，超过将抛出异常。 如果使用下面的代码： var o={},i=0; while (true) {o[i++] = 'abc'} 会抛出下面的异常： ScriptMemoryAbuseException 限定脚本格式。 为了方便重写脚本，脚本中的if、while、for语句必须使用大括号，否则将出现格式错误。 如果使用下面的代码： var o={},i=0; while (true) o[i++] = 'abc'; 会抛出下面的异常： BracesException 限制使用部分函数。 如下的函数不允许在代码中使用，如果使用，将没有任何效果。 print echo quit exit readFully readLine load loadWithNewGlobal

脚本示例 1、用户属性 在脚本中可以使用用户(user)这个对象，这个对象中包含了用户的所有属性，具体的属性以属性定义中的属性代码为准。用户属性定义可参考用户属性定义，账号属性定义可参考9。 示例1：映射用户注册时间： var createdAt = user.createdAt; var date =new Date(createdAt); date.toISOString(); 示例2：映射用户的手机号，并隐藏中间4位： var mobile = user.mobile; var result = ""; if(mobile.length == 15) { result = mobile.slice(0,7) + "****" + mobile.slice(-4); } result; 示例3：根据用户名生成用户邮箱： var username = user.userName; username.toLowerCase()+"@huaweicloud.com"; 2、组织属性 在脚本中可以使用组织(organization)这个对象，这个对象中包含了组织的所有属性。 示例1：映射组织名称： var orgName = organization.name; orgName.toString(); 示例2：映射组织编码： var orgCode = organization.code; orgCode.toString(); 示例3：映射组织id： var id= organization.id; id.toString(); 3、系统属性 获取系统属性，如日期。 示例1：映射明天的当天时间： var date =new Date(); date.setDate(date.getDate()+1); date.toISOString();

前提条件 请确保您已拥有OneAccess管理门户的访问权限。 请确保您已实现通过OneAccess免密登录华为云。如需配置请参考通过OneAccess免密登录单个华为云帐号（SAML-虚拟用户SSO）或者通过OneAccess免密登录华为云（OIDC）。 请确保您已在OneAccess实现钉钉认证源配置，如需配置，请参考配置钉钉认证源。 请确保您已拥有钉钉PC端账号，已拥有钉钉开放平台账号管理员权限。

概述 CAS是一个基于HTTP2、HTTP3的协议，要求每个组件都可以通过特定的URL访问。通过CAS协议将OneAccess作为服务提供商，使第三方应用的用户账号数据可以访问OneAccess。支持CAS1.0、CAS2.0、CAS3.0三种协议。 CAS 协议涉及两个主体。两个主体通过用户浏览器进行信息交换。如 CAS Client可以返回带参数的重定向，将信息转发给CAS Server。登录验证成功后CAS Server会返回CAS Client一个包含用户信息的XML， CAS Client验证用户信息后会返回给用户访问资源。 CAS Client：CAS客户端，资源提供方，如第三方应用。 CAS Server：CAS服务端，身份认证提供方，如OneAccess认证服务。 为方便企业用户的认证登录，OneAccess平台支持配置CAS协议作为认证源，用户可以通过CAS协议认证登录各应用系统以及实现应用系统间单点登录效果，为企业用户带来更简易便捷的登录方式和更好的用户体验。

前提条件 请确保您已拥有OneAccess管理门户的访问权限。 请确保您已实现通过OneAccess免密登录华为云。如需配置请参考通过OneAccess免密登录单个华为云帐号（SAML-虚拟用户SSO）或者通过OneAccess免密登录华为云（OIDC）。 请确保您已在OneAccess实现WeLink认证源配置，如需配置，请参考配置WeLink认证源。 请确保您已拥有WeLinkPC端账号，已拥有飞书开放平台账号管理员权限。

在IAM控制台授予IAM用户查看OneAccess服务的权限 在IAM控制台创建用户组并授权、创建用户并添加至用户组中，用户就继承了用户组的权限。 参考创建用户组并授权在IAM控制台创建用户组，并授予OneAccess服务的只读权限“OneAccess ReadOnlyAccess”。 参考创建用户并加入用户组在IAM控制台创建用户，并将其加入1中创建的用户组。 参考用户登录登录控制台，验证OneAccess服务的只读权限。

在OneAccess控制台授权IAM用户访问OneAccess服务的权限 在应用身份管理服务控制台“实例授权”IAM用户，确保IAM用户可以访问OneAccess服务。 使用管理员登录应用身份管理服务控制台。 在应用身份管理服务控制台页面，单击“实例授权”。 在实例授权页面，单击“新增授权”，选择2中创建的用户，单击“是”，即可授权IAM用户访问OneAccess服务的权限。 OneAccess“实例授权”可支持授权50个IAM用户访问OneAccess服务的权限。 当授权IAM用户后，可在OneAccess管理门户的管理员权限处查看已自动生成的系统管理员。

FAQ 创建域账号时，用户AD活动目录无法打开，提示域不存在或无法联系。 检查Netlogon和DFS服务是否已经启动。 运行net share命令，查看共享是否正常。 如果异常，可将注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters中SysvolReady的键值改为1。再次运行net share命令，共享正常。 对于AD域的问题，主要还是查看事件查看器日志并通过DcDiag工具查询错误信息。 配置LDAP连接AD时，如果提示 [LDAP：error code 49-80090308:LdapErr:……AcceptSecurityContext error.data.52e.vece]。 密码或凭证无效，用户名的格式为{用户名}@{域名}。

前提条件 请确保您已拥有OneAccess管理门户的访问权限。 请确保您已实现通过OneAccess免密登录华为云。如需配置请参考通过OneAccess免密登录单个华为云帐号（SAML-虚拟用户SSO）或者通过OneAccess免密登录华为云（OIDC）。 请确保您已在OneAccess实现飞书认证源配置，如需配置，请参考配置飞书认证源。 请确保您已拥有飞书PC端账号，已拥有飞书开放平台账号管理员权限。

在企业微信管理后台创建应用 在企业微信管理后台创建应用，并配置OneAccess的授权信息，建立企业微信对OneAccess的信任。 登录企业微信开放平台。 在企业微信开放平台，创建应用，具体可参考企业微信开放平台的帮助文档。 设置可信域名。对应管理门户域名，如xxxxxx.huaweioneaccess.com。 图1 设置可信域名 设置工作台应用主页。 应用主页地址填写OneAccess中华为云网站应用的挂接URL如图3所示。 图2 设置应用主页 图3 查看挂接URL

前提条件 请确保您已拥有OneAccess管理门户的访问权限。 请确保您已实现通过OneAccess免密登录华为云。如需配置请参考通过OneAccess免密登录单个华为云帐号（SAML-虚拟用户SSO）或者通过OneAccess免密登录华为云（OIDC）。 请确保您已在OneAccess实现钉钉认证源配置，如需配置，请参考配置企业微信认证源。 请确保您已拥有钉钉PC端账号，已拥有企业微信管理后台的账号管理员权限。

在eteams开放平台上创建应用 在eteams开放平台上创建应用，并通过配置OneAccess的授权信息，可以建立eteams对OneAccess的信任。 登录eteams开放平台，地址为https://open.eteams.cn/appinfo/list#。 在eteams开放平台，单击“创建应用 ”，选择“eteams免登第三方”并单击“下一步”，填写应用表单信息。 按照页面提示操作并提交审核，待审核通过后，获取app_key。

概述 OAuth（开放授权）是一个开放标准，允许用户授权第三方应用访问其存储在资源服务器上的信息，而不需要将用户名和密码提供给第三方应用。 基于该协议进行授权的整体流程为： 用户访问第三方应用系统，第三方应用系统向OneAccess发起授权登录请求，用户同意授权第三方应用系统后，OneAccess将携带授权码code，重定向到第三方应用系统。 第三方应用系统使用授权码code调用OneAccess的API接口换取授权令牌access_token。 第三方应用系统使用授权令牌access_token（access_token有效且未超时）调用OneAccess的API接口获取用户信息。 本文主要介绍OneAccess以OAuth协议集成应用的方法。

API使用者从OneAccess获取鉴权Token API使用者调用OneAccess鉴权接口获取鉴权Token。 访问接口：https://访问域名/api/v2/tenant/token?grant_type=client_credentials。 PostMan调用示例： 访问域名获取可参考获取用户访问域名。 使用POST访问，使用Basic认证，Basic认证的用户名和密码为4中获取的ClientId和ClientSecret。 返回的id_token可以由API使用者使用对应API时传递给API提供者做身份认证和授权，其中包含签名信息以及对应的API权限信息。可以使用header来传递。建议使用标准的Authorization Header传递。 返回的id_token有有效期，有效期之内，此id_token可以重复使用，有效期的期限由应用中配置决定。

在企业微信开放平台上创建应用 在企业微信开放平台上创建应用，并通过配置OneAccess的授权信息，可以建立企业微信对OneAccess的信任。 登录企业微信开放平台。 在企业微信开放平台，创建应用，获取AgentId和Secret。具体可参考企业微信开放平台的帮助文档。 图1 查看参数 设置企业微信授权登录回调域。 企业回调域为管理门户域名，如xxxxxx.huaweioneaccess.com。 图2 设置入口 图3 设置企业回调域 设置可信域名。对应管理门户域名，如xxxxxx.huaweioneaccess.com。 图4 设置可信域名

华为云配置示例 以华为云为例说明简单登录的配置方法。 访问华为云，打开F12，定位账号输入框，取唯一属性 type。 图5 定位账号输入框 定位密码输入框，取唯一属性 type。 图6 定位密码输入框 定位“登录”按钮，取唯一属性id。 图7 定位登录按钮 配置简单登录的参数。CSS选择器可参考https://www.w3school.com.cn/cssref/css_selectors.asp。 图8 配置参数 表1 基本配置 参数 说明 应用地址 应用的访问地址，建议设置为应用首页。 登录页面地址 应用的登录页面地址。选择简单登录、三字段登录、两页面登录时，需配置该参数。 Frame地址 应用的Frame地址。选择带Frame元素登录时，需配置该参数。 用户名输入框 用户名输入框的CSS选择器。 下一步按钮 下一步按钮的CSS选择器。选择两页面登录时，需配置该参数。 密码输入框 密码输入框的CSS选择器。 额外输入框 额外输入框的的CSS选择器。选择三字段登录时，需配置该参数。 额外字段映射 额外字段的映射属性，可选择账号名、名字、密码。选择三字段登录时，需配置该参数。 登录按钮 登录按钮的CSS选择器。 自动提交 表单（用户名、密码等）是否需自动提交。如选择否，只会填充用户名和密码，不会自动提交。 说明： 涉及人机交互的验证码页面，如手机验证码，不建议勾选自动提交。 表2 账号配置 参数 说明 账号创建人 登录应用的账号归属，可选择管理员、用户。 说明： 当账号创建人为管理员时，需配置“允许用户设置的字段”。如选择密码，只允许用户设置登录应用的密码。

概述 SAML即安全断言标记语言（Security Assertion Markup Language），是OASIS安全服务技术委员会的一个产品，是基于XML的开源标准数据格式。SAML可以解决Web端应用系统的单点登录（SSO）需求，在不同的安全域（security domain）之间交换认证和授权数据。 从抽象的角度来看，SAML主要包括：主要术语和授权流程。 主要术语 表1 主要术语 术语 说明 IdP 身份提供商（Identity Provider，简称IdP）。负责收集、存储用户身份信息，如用户名、密码等，在用户登录时负责认证用户的服务。 SP 服务提供商（Service Provider，简称SP）。与IdP建立信任关系，使用IdP提供的用户信息，为用户提供具体的服务。 SSO 单点登录（Single Sign-On，简称SSO）。用户在OneAccess系统登录后，就可以通过跳转链接访问已建立互信关系的SP系统。 授权流程 用户通过浏览器访问Web应用系统。 Web应用系统生成一个SAML身份验证请求。 Web应用系统将重定向网址发送到用户的浏览器，重定向网址包含应向SSO服务提交的编码SAML身份验证请求。 IdP对SAML请求进行解码。 IdP对用户进行身份验证。认证成功后，IdP生成一个SAML响应并编码返回到用户的浏览器，其中包括经过验证的用户的用户名。 浏览器将SAML响应转发到Web应用系统ACS URL。 Web应用系统使用IdP的公钥验证SAML响应，验证成功，ACS则会将用户重定向到目标网址。 用户将重定向到目标网址并登录到 Web 应用系统。

在OneAccess中配置元数据文件 配置元数据文件，即在OneAccess中配置企业SP的Metadata文件。OneAccess支持“上传文件”和“手动编辑”两种配置，选择其中一种即可。如果后续元数据有更新，需要重新上传或者编辑元数据，否则会影响企业用户通过OneAccess登录企业应用。 单击在OneAccess中添加企业应用中添加的企业应用，在应用信息页面单击应用图标。 在通用信息模块，单击“认证集成”后的打开认证集成设置，此处选择SAML协议，单击“保存”。 应用认证集成协议一旦设置不可修改。 在通用信息模块，单击“认证集成”后的“配置”，进入“参数配置”页签配置元数据文件，可以选择上传文件和手动配置两种方式。 配置参数会明文展示所输入的信息，请防止信息泄露。 上传文件 单击“上传文件”，选择获取的企业SP的元数据文件。 图2 上传元数据文件 当显示“上传成功”时，即系统已提取元数据。 如果提示“文件格式错误，仅支持上传xml格式文件”，需要您确认元数据文件的正确性后，重新上传或者通过手动编辑提取元数据。 企业应用的元数据获取方法请参考SP提供商的帮助文档。 手动配置 在“参数配置”页签，单击“手动配置”。 在手动编辑元数据页面，输入从企业SP元数据文件中获取的“SP Entity ID”、“ACS URL”和“签名证书”等参数，单击“保存”。 图3 配置认证参数 表2 认证参数 参数 是否必选 说明 SP Entity ID 是 SP唯一标识，对应SP元数据文件中的“Entity ID”的值。 断言消费地址（ACS URL） 是 SP回调地址（断言消费服务地址），对应SP元数据文件中“AssertionConsumerService”的值，即当OneAccess认证成功后响应返回的地址。 Name ID 是 用户在应用系统中的账号名对应字段，可以选择用户的属性或者对应的账号属性,此字段的值将作为断言中的subject。 NameID Format 是 SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。 Audience URI 否 允许使用SAML断言的资源，默认和SP Entity ID相同。 Single Logout URL 否 服务提供商提供会话注销功能，用户在OneAccess注销会话后返回该地址。 默认Relay State 否 使用在idp发起的认证中，作为默认的一个值。 支持ForceAuth 是 默认为否。如果SP要求重新认证，则强制用户再次认证。 Response签名 是 默认为否。是否对SAML Response使用IdP的证书签名。 断言签名 是 默认为是。断言需使用IdP的证书签名，对应SP元数据文件中“WantAssertionsSigned”值。 数字签名算法 是 默认为RSA_SHA256，是SAML Response或者断言签名的算法，可在下拉框选择。 数字摘要算法 是 默认为SHA256，是SAML Response或者断言的算法摘要算法，可在下拉框选择。 断言加密 是 默认为否。是否对断言进行加密。 验证请求签名 是 默认为是。用来对SAML Request签名进行验证，对应SP元数据文件中“AuthnRequestsSigned”值。 验证签名证书 是 SP公钥证书，用来验证SAML request的签名，对应SP元数据文件中use="signing"证书内容。

前提条件 请确保您已拥有OneAccess管理门户的访问权限。 请确保您已实现通过OneAccess免密登录华为云。如需配置请参考通过OneAccess免密登录单个华为云帐号（SAML-虚拟用户SSO）或者通过OneAccess免密登录华为云（OIDC）。 请确保您已在OneAccess实现钉钉认证源配置，如需配置，请参考钉钉认证登录。 请确保您已拥有钉钉PC端账号，已拥有钉钉开放平台账号管理员权限。

概述 为方便企业用户的认证登录，OneAccess平台支持配置OIDC协议作为认证源，用户可以通过OIDC协议认证登录各应用系统，为企业用户带来更简易便捷的登录方式和更好的用户体验。 OIDC是OpenID Connect的简称，是一个基于OAuth 2.0协议的身份认证标准协议。关于OIDC的详细描述请参见欢迎使用OpenID Connect。 本文主要介绍OneAccess以OIDC协议集成第三方认证源的方法。以Okta为例。

在薪人薪事平台中开通应用 在薪人薪事平台中开通应用，确保薪人薪事中的数据可同步至OneAccess。 登录薪人薪事平台。 联系平台工作人员注册应用，待应用开通后，获取应用信息appKey和appSecret，该参数在设置导入配置中使用。 当身份源数据变更后，需同步至OneAccess时，需联系平台工作人员配置回调地址，该地址指OneAccess添加薪人薪事身份源后自动生成的回调地址，可参考设置导入配置。

配置AD服务器 在AD服务器中生成SPN。 在AD服务器的DOS窗口中执行命令：setspn -A HTTP/{租户域名} {AD用户名}，如setspn -A HTTP/xxxxxx.huaweioneaccess.com Appointer。 在AD服务器中生成Keytab文件。 在AD服务器的DOS窗口中执行命令：ktpass /out {keytab文件地址} /mapuser {AD用户名} /princ HTTPS/{租户域名}@{AD域名} /pass {AD用户密码} /ptype KRB5_NT_PRINCIPAL /crypto All，如ktpass /out c:\Appointer.keytab /mapuser Appointer /princ HTTPS/xxxxxx.huaweioneaccess.com@ONEACCESS.COM /pass {AD用户密码} /ptype KRB5_NT_PRINCIPAL /crypto All。 在AD服务器中设置委派。 选择创建AD用户中创建的用户，右键选择“属性”，设置委派。 当选择“仅信任此用户作为指定服务的委派”时，需添加要委派的服务。

概述 CAS是一个基于HTTP2、HTTP3的协议，要求每个组件都可以通过特定的URL访问。通过CAS协议将OneAccess作为身份服务提供商，使第三方应用可以读取OneAccess的用户账号数据。支持CAS1.0、CAS2.0、CAS3.0三种协议。 从抽象的角度来看，主要包括CAS协议和授权流程。 CAS协议 CAS 协议涉及两个主体，两个主体通过用户浏览器进行信息交换。如CAS Client可以返回带参数的重定向，将信息转发给CAS Server。登录验证成功后 CAS Server会返回CAS Client一个包含用户信息的XML， CAS Client验证用户信息后会返回给用户访问资源。 CAS Server： CAS服务端，身份认证提供方，如OneAccess认证服务。 CAS Client： CAS客户端，资源提供方，如第三方应用。 授权流程 用户登录CAS Client 提供的应用。 CAS Client分析该Http请求中是否包含认证票据ST，如果没有，则说明当前用户尚未认证，于是重定向CAS Server ，并传递Service （目的资源地址）。 用户输入认证信息，如登录成功，CAS Server随机产生一个相当长度、唯一、不可伪造的票据ST，然后附带生成的ST重定向到CAS client。 CAS Client收到Service和新产生的ST后，通过后台与CAS Server进行交互验证。 CAS Server根据请求参数Service和ST进行身份核实，以确保ST的合法性，并返回一段指定格式的XML（包含用户信息）给CAS Client。 CAS Client和CAS Server之间完成了一个对用户的身份核实，返回给用户CAS Client访问资源。

基本概念 身份提供商（Identity Provider，简称IdP），负责收集、存储用户身份信息，如用户名、密码等，在用户登录时负责认证用户的服务。在企业与OneAccess身份认证的过程中，身份提供商指企业自身的身份提供商。 服务提供商（Service Provider，简称SP），服务提供商通过与IdP建立信任关系，使用IdP提供的用户信息，为用户提供具体的服务。在企业与OneAccess身份认证的过程中，服务提供商指OneAccess。 单点登录（Single Sign-On，简称SSO），用户在企业IdP系统登录后，就可以通过跳转链接访问已建立互信关系的SP系统，这一过程称之为单点登录。如企业IdP与OneAccess建立互信关系后，企业IdP中的用户通过OneAccess提供的登录入口，使用已有的账号密码在企业IdP中登录后，即可跳转访问OneAccess。 SAML2.0，安全断言标记语言（Security Assertion Markup Language 2.0，缩写为SAML 2.0）是一个由一组协议组成，用来传输安全声明的XML框架。SAML2.0是由标准化组织OASIS提出的用于安全操作的标准，是很多身份提供商 （IdP）使用的一种开放标准，关于SAML2.0的详细描述请参见SAML 2.0技术概述。OneAccess支持使用SAML2.0协议进行身份认证，因此与OneAccess建立身份认证的企业IdP必须支持SAML2.0协议。 本文主要介绍OneAccess以SAML集成第三方认证源的方法。

安全可靠 | 七层超强安全防护 领先安全认证 业界领先的全球多项信息安全、数据安全和隐私安全权威认证，实现业务数据可追溯、可恢复、攻不进、看不见、看不懂、拿不走、毁不掉 全栈自主可控 丰富的软硬件生态和成熟的生态支持 自言可控的研发平台与工具体系 差旅业务源代码自研，安全可信 超强安全防护 智能安全运营平台，实时态势感知 设定10000+安全基线，600+安全检测项，不放过任何安全风险 七层安全防护，确保业务高可用、高可靠

相关操作 在目标调度规则所在行“操作”列，单击“删除”，可以删除该调度规则。 在目标调度规则所在行“操作”列，单击“查看详情”后，在弹出的页面中，可以查看调度规则的详细信息和添加的云资源信息。 在基本信息后，单击，可以修改调度规则名称和是否联动调度。 单击“添加资源”，在弹出的“添加联动资源”对话框中，修改、添加或删除云资源IP。 在目标资源所在行的“操作”列，单击“删除”可以删除联动防护的云资源；或者勾选待删除的云资源后，在列表左上角单击“删除”，批量删除云资源。

如何判断入网流量是否经过了Anti-DDoS流量清洗服务？ Anti-DDoS仅对华为云内的EIP提供DDoS攻击防护。Anti-DDoS设备部署在机房出口处，如图1所示。 图1 网络拓扑架构图 如果入网流量来自公网，则会经过Anti-DDoS流量清洗服务；如果入网流量来自华为云内部，则不会经过Anti-DDoS流量清洗服务。 如果您从公网访问EIP，入网流量会先经过公网路由。您可以在EIP所在的虚拟机上查看访问的路由，如果有经过公网路由，则经过了Anti-DDoS流量清洗服务。 如果经过了Anti-DDoS流量清洗服务，当EIP受到DDoS攻击时，会有以下信息： Anti-DDoS流量清洗服务控制台会有流量清洗记录。 您会收到告警提醒消息（短信或Email）。 如果您从华为云内部访问EIP，入网流量不会经过公网路由，不经过公网路由，则不经过Anti-DDoS流量清洗服务。 例如：您在华为云两个不同的Region分别申请了一个EIP，那么两个EIP之间相互访问，则不经过Anti-DDoS流量清洗服务。 父主题： 基本功能类