文档中心API Explorer
ZHEN
文档中心HCI旗舰版用户手册HCI

子账户设置

概述

子账户:子账户由admin创建或统一认证系统同步,且受admin管理,子账户对自己创建的虚拟资源拥有管理权限。子账户对作用域的资源可以进行创建和管理,实现对资源归属及权限控制的细粒度划分。

相关定义

  • 账户
    • admin账户
      • admin账户不受权限控制,拥有超级权限,通常由IT系统管理员拥有。
      • admin账户可以共享计算规格、云盘规格、网络、镜像等资源给子账户,也可以对相关资源进行召回,不再共享。
      • admin账户可以通过修改配额对子账户进行资源总量控制。
      • admin账户创建VxlanNetworkPool后,子账户可以基于VxlanNetworkPool创建VxlanNetwork。
      • 更改云主机所有者会更改云主机的EIP所有者属性。
    • 子账户
      • 子账户可分为本地子账户和统一认证子账户:
        • 本地子账户:由admin账户直接创建,账户信息仅保存在本地。
        • 统一认证子账户:
          • 账户信息保存在统一认证服务器中,可通过统一认证服务器同步至云平台。
          • 也可由admin在本地创建,并上传至统一认证服务器,实现跨平台认证登录。
            Note: 目前,仅添加ZStack IAM认证服务器时,可在本地创建统一认证子账户。
      • 子账户对自己创建的云主机、镜像、云盘、安全组等资源拥有管理权限。
      • 子账户可以对admin账户共享的资源进行读操作,但不可以进行删除操作。
      • 删除子账户会导致此账户下的所有资源被删除,例如,云主机、云盘、镜像等。
      • 子账户名称不可重复。
      • 子账户首页看到的资源受admin账户分配的资源配额限制。
      • 子账户创建云主机前,需要admin账户提前共享计算规格、网络和云盘规格等资源,否则不可创建云主机。
      • 子账户可以添加自有的镜像文件,也可由admin账户提前共享。
  • 统一认证:云平台提供的统一认证登录服务,支持无缝接入统一认证登录系统,相应统一认证用户可免密登录云平台。目前仅支持OIDC统一认证服务器类型。
  • 配额
    • 又称子账户配额,是admin账户对子账户的资源总量进行控制的衡量标准,包括计算资源、存储资源、网络资源和其它资源。
    • admin账户通过配置参数来对各个普通账户的资源总额进行控制。若执行资源删除操作,但还未彻底删除时,会占用主存储资源和云盘数量。

术语调整

ZStack Cube 旗舰版 5.1.8开始,第三方认证更名为统一认证。下表记录了技术文档中因重命名而更新的一些常见术语。
旧术语 当前术语
第三方认证 统一认证SSO
第三方认证服务器 统一认证服务器
第三方认证系统 统一认证系统
第三方用户 统一认证用户
第三方子账户 统一认证子账户
第三方属性 统一认证属性

子账户

创建子账户

ZStack Cube 旗舰版主菜单,点击设置 > 子账户设置 > 子账户管理,进入子账户界面,点击创建子账户,弹出创建子账户界面。

可参考以下示例输入相应内容:
  • 类型:选择创建的子账户类型
    Note: ZStack Cube 旗舰版支持两种子账户类型:
    • 本地子账户:账户信息仅保存在本地。仅未添加ZStack IAM服务器时,可创建本地子账户。
    • 统一认证子账户:账户信息将至统一认证服务器,用于跨平台认证登录。仅添加ZStack IAM服务器时,可创建统一认证子账户。
  • 名称:设置本地子账户名称
  • 简介:可选项,可留空不填
  • 密码:设置本地子账户密码
  • 确认密码:再次确认本地子账户密码
  • 计费价目:可选项,选择计费价目,若留空不填将使用默认计费价目
图 1所示:
图 1. 创建子账户


管理子账户

ZStack Cube 旗舰版主菜单,点击设置 > 账户设置 > 子账户管理,进入子账户界面。

管理本地子账户

本地子账户支持以下操作:
操作 描述
创建子账户 创建一个新的子账户。
修改密码 修改账户的密码。
Note: 修改admin密码后需退出账户重新登录才可生效。
修改计费价目 修改账户所绑定的计费价目。
删除子账户
删除子账户后,子账户将禁止登录,其中的VPC路由器将被删除,云主机、云盘等资源将按照admin设置的对应资源删除策略执行:
  • 删除策略为立刻删除时,删除子账户将同时删除云主机、云盘等资源。
  • 删除策略为延时删除时,子账户下的相关云主机、云盘等资源状态变为已删除,资源所有者变更为admin。
  • 删除策略为永不删除时,子账户下的云主机、云盘等资源状态变为已删除,资源所有者变更为admin。

管理统一认证子账户

统一认证子账户支持以下操作:
操作 描述
修改计费价目 修改账户所绑定的计费价目。
删除子账户
删除子账户后,子账户将禁止登录,其中的VPC路由器将被删除,云主机、云盘等资源将按照admin设置的对应资源删除策略执行:
  • 删除策略为立刻删除时,删除子账户将同时删除云主机、云盘等资源。
  • 删除策略为延时删除时,子账户下的相关云主机、云盘等资源状态变为已删除,资源所有者变更为admin。
  • 删除策略为永不删除时,子账户下的云主机、云盘等资源状态变为已删除,资源所有者变更为admin。
  • 删除统一认证子账户后,源统一认证服务器中的子账户不受影响。

统一认证SSO

添加统一认证服务器

ZStack Cube 旗舰版主菜单,点击设置 > 子账户设置 > 统一认证SSO,进入统一认证SSO界面,点击添加统一认证服务器,弹出添加统一认证服务器界面。

添加统一认证服务器分为以下场景:
  • 添加统一认证服务器 | ZStack IAM
  • 添加统一认证服务器 | 其他认证供应商

添加统一认证服务器 | ZStack IAM

可参考以下示例输入相应内容:
  • 名称:设置统一认证服务器名称
  • 简介:可选项,可留空不填
  • 类型:统一认证服务器的协议类型,暂仅支持OIDC协议认证服务器
  • 认证供应商:选择ZStack IAM
    Note: ZStack IAM专用于多可用区间免密登录。
  • 服务器地址:填写ZStack IAM认证服务器地址。请填写完整URL
图 1所示:
图 1. 添加统一认证服务器 | ZStack IAM


添加统一认证服务器 | 其他认证供应商

可参考以下示例输入相应内容:
  • 名称:设置统一认证服务器名称
  • 简介:可选项,可留空不填
  • 类型:统一认证服务器的协议类型,暂仅支持OIDC协议认证服务器,可认证并授权统一认证用户免密登录云平台,并将用户信息按照映射规则同步至云平台
  • 认证供应商:负责收集、存储用户身份信息,如用户名、密码等,在用户登录时负责认证用户的服务。支持以下认证供应商:标准协议、正方单点登录SSO、阿里IDaaS(私有化)、MaxKey单点登录SSO,以及上传的统一认证SSO类型的插件
  • 云平台API URL:用于认证服务器认证通过后,重定向至云平台的URL
    Note:
    • 若云平台API服务配置了反向代理,此处仅需将URL中的原始地址和端口替换为代理后的地址和端口,注意保留后续参数与路径。
      示例:
      • 原配置:https://192.168.1.100:8080/api/auth/callback
      • 反代后:https://api.example.com:8443/api/auth/callback
    • 此URL需与认证服务器配置的回调地址保持一致。
  • 云平台UI URL:云平台系统内部实现免密登录的重定向模板。
    Note:
    • 若云平台UI地址配置了反向代理,此处仅需将模板中的原始地址和端口替换为代理后的地址和端口,注意保留后续参数与路径。
      示例:
      • 原模板:https://192.168.1.200:80/login/sso?token=<token>
      • 反代后:https://portal.example.com/login/sso?token=<token>
    • 此模板直接影响登录跳转功能,配置错误将导致SSO失败。
  • Client ID:认证系统为云平台分配的唯一标识符
  • Client Secret:认证系统为云平台分配的密钥
  • Scope:用于指定请求访问令牌或ID令牌时,获取的用户属性范围,如用户名(name)、电子邮件地址(email)、电话号码(phone)等。指定Scope后,返回的令牌将包含对应属性
  • Authorization Request URL:授权码(Authorization Code)模式下,用于获取授权许可的请求 URL
  • Token Request URL:从认证服务器获取访问 Token(Access Token)的请求 URL
  • Userinfo Request URL:从认证服务器获取用户信息的请求URL
  • Logout URL: 用于云平台退出登录后调用 Logout URL 注销会话,下一次登录云平台时需重新登录统一认证系统。若留空不填,则云平台退出登录后不会立即清理登录信息,会话有效期内仍可再次免密登录云平台
  • 用户映射规则:统一认证用户同步至云平台后,将具备云平台本地属性。映射规则用于建立统一认证属性与本地属性之间的映射关系
    • 用户名:设置云平台用户的用户名与OIDC认证服务器中用户某一属性的映射关系。用户名在云平台全局范围内唯一标识一个用户,需确保填写认证系统中同样具有唯一标识的用户属性

      例如:若用户名映射username,则同步至云平台的用户的用户名将使用username相应的value(例如:xiaoming)

    • 简介:可选项,设置云平台用户的简介与OIDC认证服务器中用户某一属性的映射关系

      例如:若用户简介映射description,云平台创建用户的简介将使用description相应的value(例如:开发部-后端)

图 2所示:
图 2. 添加统一认证服务器 | 其他认证供应商


管理统一认证服务器

ZStack Cube 旗舰版主菜单,点击设置 > 子账户设置 > 统一认证SSO,进入统一认证SSO界面。

统一认证服务器支持以下操作:
操作 描述
编辑 修改名称和简介。
删除 删除添加的统一认证服务器。
Note: 删除统一认证服务器将同时删除同步到云平台的统一认证用户,源统一认证服务器中的用户/组织不受影响。
上一篇设置下一篇主题外观