华为云用户手册

请求示例 扩单CN。 https://gaussdb-opengauss.cn-north-1.myhuaweicloud.com/opengauss/v3/0483b6b16e954cb88930a360d2c4e663/instances/dsfae23fsfdsae3435in01/action { "expand_cluster": { "coordinators": [ { "az_code":"az1xahz" } ]， "isAutoPay":0 } } 扩多CN。 https://gaussdb-opengauss.cn-north-1.myhuaweicloud.com/opengauss/v3/0483b6b16e954cb88930a360d2c4e663/instances/dsfae23fsfdsae3435in01/action { "expand_cluster": { "coordinators": [ { "az_code":"az1xahz" }, { "az_code":"az2xahz" }, { "az_code":"az3xahz" } ] } }

请求参数 表2 请求参数 名称 是否必选 参数类型 说明 expand_cluster 是 Object 请参见表3 表3 expand_cluster字段数据结构说明 名称 是否必选 参数类型 说明 coordinators 是 Array 请参见表4 isAutoPay 否 int 包周期用户需要填写该字段。 0：表示不自动支付扩容订单费用 1：表示自动支付扩容订单费用 不填写则保持默认。默认值：0 表4 azCode字段数据结构说明 名称 是否必选 参数类型 说明 az_code 是 String 新增CN横向扩容每个节点的可用区

概述 GaussDB是华为自主创新研发的分布式关系型数据库。该产品支持分布式事务，同城跨AZ部署，数据0丢失，支持1000+的扩展能力，PB级海量存储。同时拥有云上高可用，高可靠，高安全，弹性伸缩，一键部署，快速备份恢复，监控告警等关键能力，能为企业提供功能全面，稳定可靠，扩展性强，性能优越的企业级数据库服务。 您可以使用本文档提供API对数据库实例进行相关操作，如创建、删除、查询参数配置、扩容等。支持的全部操作请参见API概览。 在调用GaussDB API之前，请确保已经充分了解GaussDB相关概念，详细信息请参见产品介绍。 父主题： 使用前必读

状态码 状态码如表1所示： 表1 状态码 状态码 编码 错误码说明 100 Continue 继续请求。 这个临时响应用来通知客户端，它的部分请求已经被服务器接收，且仍未被拒绝。 101 Switching Protocols 切换协议。只能切换到更高级的协议。 例如，切换到HTTP的新版本协议。 200 OK 请求成功。 201 Created 创建类的请求完全成功。 202 Accepted 已经接受请求，但未处理完成。 203 Non-Authoritative Information 非授权信息，请求成功。 204 NoContent 请求完全成功，同时HTTP响应不包含响应体。 在响应OPTIONS方法的HTTP请求时返回此状态码。 205 Reset Content 重置内容，服务器处理成功。 206 Partial Content 服务器成功处理了部分GET请求。 300 Multiple Choices 多种选择。请求的资源可包括多个位置，相应可返回一个资源特征与地址的列表用于用户终端（例如：浏览器）选择。 301 Moved Permanently 永久移动，请求的资源已被永久的移动到新的URI，返回信息会包括新的URI。 302 Found 资源被临时移动。 303 See Other 查看其它地址。 使用GET和POST请求查看。 304 Not Modified 所请求的资源未修改，服务器返回此状态码时，不会返回任何资源。 305 Use Proxy 所请求的资源必须通过代理访问。 306 Unused 已经被废弃的HTTP状态码。 400 BadRequest 非法请求。 建议直接修改该请求，不要重试该请求。 401 Unauthorized 在客户端提供认证信息后，返回该状态码，表明服务端指出客户端所提供的认证信息不正确或非法。 402 Payment Required 保留请求。 403 Forbidden 请求被拒绝访问。 返回该状态码，表明请求能够到达服务端，且服务端能够理解用户请求，但是拒绝做更多的事情，因为该请求被设置为拒绝访问，建议直接修改该请求，不要重试该请求。 404 NotFound 所请求的资源不存在。 建议直接修改该请求，不要重试该请求。 405 MethodNotAllowed 请求中带有该资源不支持的方法。 建议直接修改该请求，不要重试该请求。 406 Not Acceptable 服务器无法根据客户端请求的内容特性完成请求。 407 Proxy Authentication Required 请求要求代理的身份认证，与401类似，但请求者应当使用代理进行授权。 408 Request Time-out 服务器等候请求时发生超时。 客户端可以随时再次提交该请求而无需进行任何更改。 409 Conflict 服务器在完成请求时发生冲突。 返回该状态码，表明客户端尝试创建的资源已经存在，或者由于冲突请求的更新操作不能被完成。 410 Gone 客户端请求的资源已经不存在。 返回该状态码，表明请求的资源已被永久删除。 411 Length Required 服务器无法处理客户端发送的不带Content-Length的请求信息。 412 Precondition Failed 未满足前提条件，服务器未满足请求者在请求中设置的其中一个前提条件。 413 Request Entity Too Large 由于请求的实体过大，服务器无法处理，因此拒绝请求。为防止客户端的连续请求，服务器可能会关闭连接。如果只是服务器暂时无法处理，则会包含一个Retry-After的响应信息。 414 Request-URI Too Large 请求的URI过长（URI通常为网址），服务器无法处理。 415 Unsupported Media Type 服务器无法处理请求附带的媒体格式。 416 Requested range not satisfiable 客户端请求的范围无效。 417 Expectation Failed 服务器无法满足Expect的请求头信息。 422 UnprocessableEntity 请求格式正确，但是由于含有语义错误，无法响应。 429 TooManyRequests 表明请求超出了客户端访问频率的限制或者服务端接收到多于它能处理的请求。建议客户端读取相应的Retry-After首部，然后等待该首部指出的时间后再重试。 500 InternalServerError 表明服务端能被请求访问到，但是不能理解用户的请求。 501 Not Implemented 服务器不支持请求的功能，无法完成请求。 502 Bad Gateway 充当网关或代理的服务器，从远端服务器接收到了一个无效的请求。 503 ServiceUnavailable 被请求的服务无效。 建议直接修改该请求，不要重试该请求。 504 ServerTimeout 请求在给定的时间内无法完成。客户端仅在为请求指定超时（Timeout）参数时会得到该响应。 505 HTTP Version not supported 服务器不支持请求的HTTP协议的版本，无法完成处理。 父主题： 附录

响应参数 表2 参数说明 参数 参数类型 描述 histories Array of objects 应用记录列表，具体参数请参考表3。 total_count Integer 总记录数。 表3 histories字段数据结构说明 参数 参数类型 描述 instance_id String 实例ID。 instance_name String 实例名称。 apply_result String 应用状态。 SUCCESS FAILED APPLYING applied_at String 应用时间，格式为“yyyy-mm-ddThh:mm:ssZ”。 其中，T指某个时间的开始；Z指时区偏移量，例如北京时间偏移显示为+0800。 error_code String 失败原因错误码，如DBS.280005。

响应示例 查询参数模板的应用记录成功。 { "total_count": 2, "histories": [ { "instance_id": "1995a67680474481b3e42ac1474e32e0in14", "instance_name": "gauss-a283", "apply_result" : "SUCCESS", "applied_at" : "2022-08-09T03:06:52+0800", "error_code" : null }, { "instance_id": "8303819fd8744ef69f34595e9710a33din14", "instance_name": "gauss-2423-lt-master", "apply_result" : "FAILED", "applied_at" : "2022-08-09T03:06:52+0800", "error_code" : "DBS.280005" } ] }

URI GET https://{Endpoint}/v3/{project_id}/configurations/{config_id}/applied-histories 表1 参数说明 参数 是否必选 参数类型 描述 project_id 是 String 租户在某一Region下的项目ID。 获取方法请参见获取项目ID。 config_id 是 String 参数模板ID。 offset 否 Integer 索引位置，偏移量。从第一条数据偏移offset条数据后开始查询，默认为0（偏移0条数据，表示从第一条数据开始查询），必须为数字，不能为负数。例如：该参数指定为0，limit指定为10，则只展示第1-10条数据。 limit 否 Integer 查询记录数。默认为100，不能为负数，最小值为1，最大值为100。例如该参数设定为10，则查询结果最多只显示10条记录。

注意事项 列存表支持的数据类型请参考列存表支持的数据类型。 列存表不支持数组。 列存表不支持生成列。 列存表不支持创建全局临时表。 创建列存表的数量建议不超过1000个。 如果在建表过程中数据库系统发生故障，系统恢复后可能无法自动清除之前已创建的、大小为0的磁盘文件。此种情况出现概率小，不影响数据库系统的正常运行。 列存表的表级约束只支持PARTIAL CLUSTER KEY、UNIQUE、PRIAMRY KEY，不支持外键等表级约束。 列存表的字段约束只支持NULL、NOT NULL和DEFAULT常量值、UNIQUE和PRIMARY KEY。 列存表支持delta表，受参数enable_delta_store控制是否开启，受参数deltarow_threshold控制进入delta表的阀值。 使用JDBC时，支持通过PrepareStatement对DEFAULT值进行参数化设置。 被授予CREATE ANY TABLE权限的用户，可以在public模式和用户模式下创建表。如果想要创建包含serial类型列的表，还需要授予CREATE ANY SEQUENCE创建序列的权限。

语法格式 创建表。 CREATE [ [ GLOBAL | LOCAL ] [ TEMPORARY | TEMP ] | UNLOGGED ] TABLE [ IF NOT EXISTS ] table_name ({ column_name data_type [ compress_mode ] [ COLLATE collation ] [ column_constraint [ ... ] ] | table_constraint | LIKE source_table [ like_option [...] ] } [, ... ]) [ WITH ( {storage_parameter = value} [, ... ] ) ] [ ON COMMIT { PRESERVE ROWS | DELETE ROWS | DROP } ] [ COMPRESS | NOCOMPRESS ] [ TABLESPACE tablespace_name ]; 其中列约束column_constraint为： [ CONSTRAINT constraint_name ] { NOT NULL | NULL | CHECK ( expression ) | DEFAULT default_expr | GENERATED ALWAYS AS ( generation_expr ) STORED | UNIQUE index_parameters | ENCRYPTED WITH ( COLUMN_ENCRYPTION_KEY = column_encryption_key, ENCRYPTION_TYPE = encryption_type_value ) | PRIMARY KEY index_parameters | REFERENCES reftable [ ( refcolumn ) ] [ MATCH FULL | MATCH PARTIAL | MATCH SIMPLE ] [ ON DELETE action ] [ ON UPDATE action ] } [ DEFERRABLE | NOT DEFERRABLE | INITIALLY DEFERRED | INITIALLY IMMEDIATE ] 其中列的压缩可选项compress_mode为： { DELTA | PREFIX | DICTIONARY | NUMSTR | NOCOMPRESS } 其中表约束table_constraint为： [ CONSTRAINT constraint_name ] { CHECK ( expression ) | UNIQUE ( column_name [, ... ] ) index_parameters | PRIMARY KEY ( column_name [, ... ] ) index_parameters | FOREIGN KEY ( column_name [, ... ] ) REFERENCES reftable [ (refcolumn [, ... ] ) ] [ MATCH FULL | MATCH PARTIAL | MATCH SIMPLE ] [ ON DELETE action ] [ ON UPDATE action ] | PARTIAL CLUSTER KEY ( column_name [, ... ] ) } [ DEFERRABLE | NOT DEFERRABLE | INITIALLY DEFERRED | INITIALLY IMMEDIATE ] 其中like选项like_option为： { INCLUDING | EXCLUDING } { DEFAULTS | GENERATED | CONSTRAINTS | INDEXES | STORAGE | COMMENTS | PARTITION | RELOPTIONS | ALL } 其中索引参数index_parameters为： [ WITH ( {storage_parameter = value} [, ... ] ) ] [ USING INDEX TABLESPACE tablespace_name ]

优化建议 UNLOGGED UNLOGGED表和表上的索引因为数据写入时不通过WAL日志机制，写入速度远高于普通表。因此，可以用于缓冲存储复杂查询的中间结果集，增强复杂查询的性能。 UNLOGGED表无主备机制，在系统故障或异常断点等情况下，会有数据丢失风险，因此，不可用来存储基础数据。 TEMPORARY | TEMP 临时表只在当前会话可见，会话结束后会自动删除。 LIKE 新表自动从这个表中继承所有字段名及其数据类型和非空约束，新表与源表之间在创建动作完毕之后是完全无关的。 LIKE INCLUDING DEFAULTS 源表上的字段缺省表达式只有在指定INCLUDING DEFAULTS时，才会复制到新表中。缺省是不包含缺省表达式的，即新表中的所有字段的缺省值都是NULL。 LIKE INCLUDING CONSTRAINTS 源表上的CHECK约束仅在指定INCLUDING CONSTRAINTS时，会复制到新表中，而其他类型的约束永远不会复制到新表中。非空约束总是复制到新表中。此规则同时适用于表约束和列约束。 LIKE INCLUDING INDEXES 如果指定了INCLUDING INDEXES，则源表上的索引也将在新表上创建，默认不建立索引。 LIKE INCLUDING STORAGE 如果指定了INCLUDING STORAGE，则复制列的STORAGE设置会复制到新表中，默认情况下不包含STORAGE设置。 LIKE INCLUDING COMMENTS 如果指定了INCLUDING COMMENTS，则源表列、约束和索引的注释会复制到新表中。默认情况下，不复制源表的注释。 LIKE INCLUDING PARTITION 如果指定了INCLUDING PARTITION，则源表的分区定义会复制到新表中，同时新表将不能再使用PARTITION BY子句。默认情况下，不拷贝源表的分区定义。 列表/哈希分区表暂不支持LIKE INCLUDING PARTITION。 LIKE INCLUDING RELOPTIONS 如果指定了INCLUDING RELOPTIONS，则源表的存储参数（即源表的WITH子句）会复制到新表中。默认情况下，不复制源表的存储参数。 LIKE INCLUDING ALL INCLUDING ALL包含了INCLUDING DEFAULTS、INCLUDING CONSTRAINTS、INCLUDING INDEXES、INCLUDING STORAGE、INCLUDING COMMENTS、INCLUDING PARTITION、INCLUDING RELOPTIONS的内容。 ORIENTATION ROW 创建行存表，行存储适合于OLTP业务，此类型的表上交互事务比较多，一次交互会涉及表中的多个列，用行存查询效率较高。 ORIENTATION COLUMN 创建列存表，列存储适合于数据仓库业务，此类型的表上会做大量的汇聚计算，且涉及的列操作较少。

容灾场景 某客户有两套数据库实例，其中A数据库实例为生产数据库实例，B数据库实例为容灾数据库实例。当客户执行容灾切换时，A数据库实例将降为容灾数据库实例，B数据库实例将升为生产数据库实例。此时为了避免修改配置文件导致的应用重启或重新发版。客户可在初始配置文件时，即将A、B数据库实例写入连接串中。此时在主数据库实例不可连接时，驱动将尝试对容灾数据库实例建连。例如A数据库实例为{node1,node2,node3}。B数据库实例为{node4,node5,node6}。 则url可参考如下进行配置： jdbc:postgresql://node1,node2,node3,node4,node5,node6/database?priorityServers=3

自动寻主场景 某客户存在一套集中式数据库实例，包含1主2备三个节点{node1，node2，node3}，其中node1为主节点，node2、node3为备节点。 客户希望应用连接能建立在主DN上，并在发生主备切换时，自动选择新的主节点建连，则url可参考如下配置： jdbc:postgresql://node1,node2,node3/database?targetServerType=master

高性能场景 某客户对于相同sql可能多次执行，仅是传参不同，为了提升执行效率，可开启prepareThreshold参数，避免重复生成执行计划，url可参考如下配置。 jdbc:postgresql://node1/database?prepareThreshold=5 某客户一次查询1000万数据，为避免同时返回造成内存溢出，可使用defaultRowFetchSize，url可参考如下配置。 jdbc:postgresql://node1/database?defaultRowFetchSize=50000 某客户需要批量插入1000万数据，为提升效率，可使用batchMode，url可参考如下配置。 jdbc:postgresql://node1/database?batchMode=true

PG_CONSTRAINT PG_CONSTRAINT系统表存储表上的检查约束、主键和唯一约束。 表1 PG_CONSTRAINT字段 名称 类型 描述 oid oid 行标识符（隐含属性，必须明确选择）。 conname name 约束名称（不一定是唯一的）。 connamespace oid 包含这个约束的名称空间的OID。 contype "char" c = 检查约束 p = 主键约束 u = 唯一约束 t = 触发器约束 x = 互斥约束 f = 外键约束 s = 聚簇约束 i = 无效约束 condeferrable boolean 这个约束是否可以推迟。 condeferred boolean 缺省时这个约束是否可以推迟。 convalidated boolean 约束是否有效。目前，只有外键和CHECK约束可将其设置为FALSE。 conrelid oid 这个约束所在的表；如果不是表约束则为0。 contypid oid 这个约束所在的域；如果不是一个域约束则为0。 conindid oid 与约束关联的索引ID。 confrelid oid 如果是外键，则为参考的表；否则为0。 confupdtype "char" 外键更新动作代码。 a = 没动作 r = 限制 c = 级联 n =设置为null d =设置为缺省 confdeltype "char" 外键删除动作代码。 a = 没动作 r = 限制 c = 级联 n =设置为null d =设置为缺省 confmatchtype "char" 外键匹配类型。 f = 全部 p = 部分 u = 未指定（在f的基础上允许匹配NULL值） conislocal boolean 是否是为关系创建的本地约束。 coninhcount integer 约束直接继承父表的数目。继承父表数非零时，不能删除或重命名该约束。 connoinherit boolean 是否可以被继承。 consoft boolean 是否为信息约束（Informational Constraint）。 conopt boolean 是否使用信息约束优化执行计划。 conkey smallint[] 如果是表约束，则是约束控制的字段列表。 confkey smallint[] 如果是一个外键，是参考的字段的列表。 conpfeqop oid[] 如果是一个外键，是做PK=FK比较的相等操作符ID的列表。 conppeqop oid[] 如果是一个外键，是做PK=PK比较的相等操作符ID的列表。 conffeqop oid[] 如果是一个外键，是做FK=FK比较的相等操作符ID的列表。由于当前不支持外键，所以值为空。 conexclop oid[] 如果是一个排他约束，是列的排他操作符ID列表。 conbin pg_node_tree 如果是检查约束，那就是其表达式的内部形式。 consrc text 如果是检查约束，则是表达式的人类可读形式。 conincluding smallint[] 不用做约束，但是会包含在INDEX中的属性列。 consrc在被引用的对象改变之后不会被更新，它不会跟踪字段的名称修改。与其依赖这个字段，最好还是使用pg_get_constraintdef()来抽取一个检查约束的定义。 pg_class.relchecks需要和在此表上为给定关系找到的检查约束的数目一致。 父主题： 系统表

背景信息 ANALYZE语句可收集与数据库中表内容相关的统计信息，统计结果存储在系统表PG_STATISTIC中。查询优化器会使用这些统计数据，以生成最有效的执行计划。 建议在执行了大批量插入/删除操作后，例行对表或全库执行ANALYZE语句更新统计信息。目前默认收集统计信息的采样比例是30000行（即：guc参数default_statistics_target默认设置为100），如果表的总行数超过一定行数（大于1600000），建议设置guc参数default_statistics_target为-2，即按2%收集样本估算统计信息。 对于在批处理脚本或者存储过程中生成的中间表，也需要在完成数据生成之后显式的调用ANALYZE。 对于表中多个列有相关性且查询中有同时基于这些列的条件或分组操作的情况，可尝试收集多列统计信息（当前特性是实验室特性，使用时请联系华为工程师提供技术支持），以便查询优化器可以更准确地估算行数，并生成更有效的执行计划。

获取驱动包 单击此处获取GaussDB驱动包“GaussDB_driver.zip”。 单击此处获取GaussDB驱动包校验包“GaussDB_driver.zip.sha256”。 为了防止软件包在传递过程或存储期间被恶意篡改，下载软件包时需下载对应的校验包对软件包进行校验，校验方法如下： 上传软件包和软件包校验包到虚拟机（Linux操作系统）的同一目录下。 执行如下命令，校验软件包完整性。 cat GaussDB_driver.zip.sha256 | sha256sum --check 如果回显OK，则校验通过。 GaussDB_driver.zip: OK

数据加载和卸载 【建议】在insert语句中显式给出插入的字段列表。例如： 1 INSERT INTO task(name,id,comment) VALUES ('task1','100','第100个任务'); 【建议】在批量数据入库之后，或者数据增量达到一定阈值后，建议对表进行analyze操作，防止统计信息不准确而导致的执行计划劣化。 【建议】如果要清理表中的所有数据，建议使用truncate table方式，不要使用delete table方式。delete table方式删除性能差，且不会释放那些已经删除了的数据占用的磁盘空间。

DDL 【建议】在GaussDB中，建议DDL（建表、comments等）操作统一执行，在批处理作业中尽量避免DDL操作。避免大量并发事务对性能的影响。 【建议】在非日志表（unlogged table）使用完后，立即执行数据清理（truncate）操作。因为在异常场景下，GaussDB不保证非日志表(unlogged table)数据的安全性。 【建议】临时表和非日志表的存储方式建议和基表相同。当基表为行存（列存）表时，临时表和非日志表也推荐创建为行存（列存）表，可以避免行列混合关联带来的高计算代价。 【建议】索引字段的总长度不超过50字节。否则，索引大小会膨胀比较严重，带来较大的存储开销，同时索引性能也会下降。 【建议】不要使用DROP…CASCADE方式删除对象，除非已经明确对象间的依赖关系，以免误删。

参数说明 server_name server的名称。 取值范围：长度必须小于等于63。 fdw_name 指定外部数据封装器的名称。 取值范围：dist_fdw，log_fdw，file_fdw。 OPTIONS ( { option_name ' value ' } [, ...] ) 这个子句为服务器指定选项。这些选项通常定义该服务器的连接细节，但是实际的名称和值取决于该服务器的外部数据包装器。 用于指定外部服务器的各类参数，详细的参数说明如下所示。 encrypt 是否对数据进行加密，该参数仅支持type为OBS时设置。默认值为on。 取值范围： on表示对数据进行加密，使用HTTPS协议通信。 off表示不对数据进行加密，使用HTTP协议通信。 access_key OBS访问协议对应的AK值（OBS云服务界面由用户获取），创建外表时AK值会加密保存到数据库的元数据表中。该参数仅支持type为OBS时设置。 secret_access_key OBS访问协议对应的SK值（OBS云服务界面由用户获取），创建外表时SK值会加密保存到数据库的元数据表中。该参数仅支持type为OBS时设置。 除了libpq支持的连接参数外，还额外提供以下参数： fdw_startup_cost 执行一个外表扫描时的启动耗时估算。这个值通常包含建立连接、远端对请求的分析和生成计划的耗时。默认值为100。 fdw_typle_cost 在远端服务器上对每一个元组进行扫描时的额外消耗。这个值通常表示数据在server间传输的额外消耗。默认值为0.01。

修订记录 发布日期 修订记录 2024-05-20 第八次正式发布。 新增如下内容： 添加AD认证源 2024-03-29 第七次正式发布。 新增如下内容： 申请组织成员配额 移交组织 域名管理 2023-10-25 第六次正式发布。 优化如下内容： 使用前必读 开通OrgID 2023-09-08 第五次正式发布。 新增如下章节： 数据报表 优化如下章节： 使用前必读 登录场景介绍 2023-07-14 第四次正式发布。 新增如下章节： 开通联邦认证 用户组管理 查看三方认证用户 优化如下章节： 成员管理 授权管理配置 2023-06-09 第三次正式发布。 优化如下章节： 配置组织社交认证源 添加组织认证源 我的审批 2023-05-27 第二次正式发布。 新增如下章节： 我的审批 用户属性配置 优化如下章节： 使用前必读 开通OrgID 成员管理 添加组织认证源 2023-05-04 第一次正式发布。

操作步骤 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“授权管理”，进入“授权管理”页签。 单击“授权设置”，在“授权设置”界面中选择被授权成员信息，单击“下一步”。 选择可用成员范围，可勾选“全员可用”或“自定义人员范围”，勾选“自定义人员范围”后还需要选择指定的部门与人员或者用户组。单击“确认”。 设置后，应用授权范围中会显示授权部门、授权人员或授权用户组信息。同时，授权用户列表中也会展示授权帐号的详细情况（包括姓名、帐号名、应用侧角色、来源、更新时间和同步状态），支持按照帐号名进行过滤查询。

（可选）登录配置 （可选）如果需要获取首页URL或管理员登录地址供其他用户使用，可单击获取。 管理员登录地址为空即表示在5中未配置管理员登录地址。 （可选）如果已进行认证源管理，可选择开启认证源。根据开启的认证源类型不同，界面操作不同，具体如下。 开启组织社交认证源（钉钉、企业微信或Welink）：开启后，界面提示“保存成功”即成功开启。 开启组织认证源（OAuth、CAS、SAML、OIDC或AD）：开启后，需要选择关联的认证源，单击“保存”，界面提示“保存成功”即成功开启。 开启后，登录页会新增“其他方式登录”选项，可选择使用该认证源登录应用，支持开启多个。

（可选）同步集成配置 当需要同步应用的数据给第三方系统时，可开启同步集成开关，详细的同步数据请参见联营Kit接口描述。 配置相关参数，参数说明如表2所示。 表2 同步集成配置参数说明 参数名称 参数说明 回调URL 用于同步该应用的数据给其他第三方系统的URL。 签名密钥 用于对回调消息体内容签名。 加密密钥 用于传输ClientSecret的加密公钥。 摘要算法 选择加密算法，如：SHA256或SHA1。 注意： SHA1安全强度不高，不建议使用。

授权管理配置 单击“授权设置”，在“授权设置”界面中选择被授权成员信息，单击“下一步”。 选择可用成员范围，可勾选“全员可用”或“自定义人员范围”，勾选“自定义人员范围”后还需要选择指定的部门与人员或者用户组。单击“确认”。 设置后，应用授权范围中会显示授权部门、授权人员或授权用户组信息。同时，授权用户列表中也会展示授权帐号的详细情况（包括姓名、帐号名、应用侧角色、来源、更新时间和同步状态），支持按照时间或帐号名进行过滤查询。

（可选）访问控制策略配置 当需要控制用户在指定的时间或区域范围内访问应用时，可开启访问控制开关。 配置默认策略。默认策略可选择“允许所有用户访问”或“拒绝所有用户访问”。 默认策略用于访问该应用时无法匹配到应用访问策略的用户。 单击“添加策略”，配置策略参数，参数说明如表3所示。 表3 添加策略参数说明 参数名称 参数说明 策略名称 应用访问策略的名称。 描述 可选项，应用访问策略的描述信息。 访问时间 可选择任意时间、指定星期范围内或指定日期范围内。 区域范围 可选择不限定或指定ip段。 选择指定ip段后，需先添加区域范围，包括设置区域名称、区域网段和描述信息。然后选择已添加的区域范围即可。 访问策略 勾选访问策略。 允许访问：符合设置的访问时间或区域范围的用户允许访问该应用。 拒绝：符合设置的访问时间或区域范围的用户无法访问该应用。 二次验证：符合设置的访问时间或区域范围的用户可以使用手机验证码进行验证，验证通过后即可访问该应用。 策略添加完成后，可单击“是否生效”列的开启策略。开启后可单击“是否生效”列的关闭策略。

认证集成配置 选择认证集成方式：OAuth2、OIDC、SAML、CAS3，选择后不支持修改。 根据选择的认证集成方式不同，需要配置不同的参数，参数说明如表1所示。配置完成后，单击“保存”。 表1 认证集成配置参数说明 认证集成方式 参数名称 参数说明 OAuth2 首页URL 应用首页的URL地址，例：https://xx.xx。 支持设置多个首页的URL地址，可单击“新建URL”，添加新的URL地址。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 Refresh Token有效期（秒） 允许用户在多久时间内不用重新登录应用的时间。 Access Token有效期（秒） 允许用户在多久时间内保持登录应用的时间。 OIDC 首页URL 应用首页的URL地址，例：https://xx.xx。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 授权码模式 可选项，是否开启授权码模式，默认开启。 TOKEN签名算法 支持选择：RS256、RS384、RS512。 Access Token有效期（秒） 允许用户在多久时间内保持登录应用的时间。 Refresh Token有效期（秒） 允许用户在多久时间内不用重新登录应用的时间。 SAML SP Entity ID SP唯一标识，对应SP元数据文件中的“Entity ID”的值。 断言消费地址(ACS URL) SP回调地址（断言消费服务地址），对应SP元数据文件中“AssertionConsumerService”的值，即当认证成功后响应返回的值。 Name ID 用户在应用系统中的帐号名对应字段，支持选择：邮箱、手机号、用户名、用户ID、帐号名。 NameID Format 可选项，SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。支持选择： urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:persistent Audience URI 可选项，允许使用SAML断言的资源，默认和SP Entity ID相同。 Single Logout URL 可选项，服务提供商提供会话注销功能，用户在OrgID注销会话后返回绑定的地址。对应SP元数据文件中“SingleLogoutService” 的值。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。 默认Relay State 可选项，使用在IdP发起的认证中，作为默认的一个值。 支持ForceAuth 可选项，如果SP要求重新认证，则强制用户再次认证。 Response签名 可选项，是否对SAML Response使用IdP的证书签名。 断言签名 可选项，断言需使用IdP的证书签名，对应SP元数据文件中“WantAssertionsSigned”值。 数字签名算法 可选项，SAML Response或者断言签名的算法。支持RSA_SHA256、RSA_SHA512、RSA_RIPEMD160，可在下拉框选择。 数字摘要算法 可选项，SAML Response或者断言的数字摘要算法。支持SHA256、SHA512、RIPEMD160，可在下拉框选择。 断言加密 可选项，是否对断言进行加密。 验证请求签名 可选项，是否对SAML Request签名进行验证，对应SP元数据文件中“AuthnRequestsSigned”值。 CAS3 首页URL 应用首页的URL地址，例：https://xx.xx。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 （可选）如果需要关联OrgID和自建应用的用户属性，可选择“映射配置”页签，单击“添加映射”，选择关联属性和映射属性，单击“确定”保存映射，单击“测试”，测试映射关系是否成立。 需要修改映射时，可单击操作列的“编辑”进行修改。

应用基本信息配置 登录管理中心。 选择左侧导航栏的“应用管理”。 单击“添加自建应用”。 输入应用名称，如“自建App”。 上传应用图标，图标要求必须为JPG或PNG格式，大小不超过20KB，尺寸240*240px。 选择应用类型，当前仅支持选择“Web”。 设置应用负责人，输入并选择成员姓名，将成员设置为应用负责人。 应用负责人即该应用的应用管理员，只有应用管理员才能更新该应用配置，其他管理员没有操作该应用的权限。 普通成员不能成为应用负责人，需先成为组织管理员、部门管理员才能被设置为应用负责人。 单击“确定”，进入认证集成页面。

开启/关闭认证源 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“登录配置”，进入“登录配置”页签。 在“认证方式”模块，开启/关闭指定认证源操作列的开关即可。 开启后，登录页会新增“其他方式登录”选项，可选择使用该认证源登录应用，支持开启多个。根据开启的认证源类型不同，界面操作不同，具体如下： 开启组织社交认证源（钉钉、企业微信或Welink）：开启后，界面提示“保存成功”即成功开启。 开启组织认证源（OAuth、CAS、SAML、OIDC或AD）：开启后，需要选择关联的认证源，单击“保存”，界面提示“保存成功”即成功开启。

管理中心首页功能介绍 管理中心首页不仅提供了完善组织架构、配置组织应用和探索更多操作的常用功能入口，还展示了组织的统计数据和应用管理的快捷入口，如图1所示。组织创建者或组织管理员可以通过管理中心快速访问所需功能，并了解组织的整体信息。 图1 管理中心首页 具体快捷功能如下： 完善组织架构：可快速访问成员管理页面。 配置组织应用：可快速访问应用管理页面。 查看组织信息：可快速访问组织信息界面。 配置：可快速访问对应应用的配置页面。

用户中心首页介绍 在用户中心首页，您可以查看组织的全部应用及最近使用应用、查看登录登出日志或退出登录等操作。 图1 用户中心首页 用户中心首页主要包含以下部分： 最近使用：展示您近期使用的应用，可单击应用直接免登录访问应用。 全部应用：展示组织的所有应用，可单击应用直接免登录访问应用。 登录登出日志：展示您的登录登出日志详情，包括时间、操作者、操作类型和IP地址。 帐号的下拉菜单：支持退出登录。 父主题： 普通用户指南