智慧园区设备终端伙伴认证介绍1         概述华为智慧园区解决方案致力于为客户打造一个数字化、智慧化的园区，方案包含应用、平台、联接、端四层架构，其中“端”侧指应用在园区场景的各种弱电子系统，包括SA、FA、CA、OA、BA等。智慧园区解决方案南向伙伴即指其产品已与华为沃土数字平台南向接口完成预集成，并通过华为验证要求的业界厂家。本文档即用于介绍如何成为华为智慧园区南向终端伙伴，以及相应的操作指导。2        认证说明 认证流程整个认证流程可分为4个阶段，即：注：1.         华为SPC平台登录地址： http://partner.huawei.com/2.         华为智慧园区合作伙伴自助认证平台登录地址：https://openlab.huawei.com，平台登录需使用SPC注册账号。3.         伙伴在一个方案中可包含多个产品设备，认证完后如有新产品或换代产品，可再次发起测试并发布。4.         单产品测试通过后即会提供华为智慧园区沃土数字平台互通测试报告（后续会增加单产品技术认证证书）。5.         伙伴与华为的园区联合方案认证通过后，该方案即在华为Market Place上市发布，供一线销售人员使用，同时会颁发智慧园区“沃土数字平台南向终端”伙伴证书。具体操作步骤可参考附件1“智慧园区南向终端伙伴SPC系统操作指导”&附件2“华为智慧园区合作伙伴认证测试指导书V0.9”。3. 认证证书认证完成后，将会给伙伴颁发两类证书，一类为伙伴身份证书，证书样式见下：第二类为单产品的技术认证证书（暂只提供测试报告） 4         伙伴权益成为华为智慧园区沃土数字平台伙伴后，伙伴将享受到如下权益：

从我们登录华为云的那一刻起，就开始了与统一身份认证服务（Identity and Access Management，简称IAM）的密切接触，为啥这么说？因为连华为云的登录页面都是IAM的程序猿小哥哥做的！今天这一课我们就来聊一聊这个功能强大又操作便捷的云服务--IAM。谁能用IAM？是你，就是屏幕对面的你！权限管理--如果将你账号里的各种资源类比成一块大水果蛋糕，而你想把草莓味的只分给小A，又想把抹茶味的分给小B和小C一起吃，这就是一个典型的权限管理问题，IAM会把你的权限管理得明明白白，小A的蛋糕绝不让小B和小C看到。账号安全管理--当你在华为云上购买的资源越来越多，一定会越来越担心“盗号风险”，连家里防盗门锁都升级了，华为云的账号安全怎能不升级？了解IAM的账号安全管理，给你的资源加上多重保险，妈妈再也不用担心我的账号安全！委托--如果将你账号里的资源看成一个豪宅，而你想找一个专业的管家帮你打理豪宅内外的琐事，这就是一个典型的委托管理问题，来找IAM，帮你把你的各类委托分配的清清楚楚，如果你对你找的管家不满意，随时可以“解雇”他，取消委托关系。身份提供商--什么？一个富二代刚刚继承了家族巨额财产还有多家上市企业？霸道总裁不想为公司员工逐一创建IAM用户又点名要使用华为云？安排！身份提供商让你的员工完美单点登录，再也不用辛苦记住无数个账号密码！划重点了，如此强大怎么收费？免费！！！就是这么任性！权限管理--他只能做你同意的事使用IAM，你可以将账号内不同的资源按需分配给你创建的IAM用户，IAM用户使用自己独立的用户名和密码登录，向密码共享说NO！实现安全而精细的权限管理，同时满足企业对权限最小化的安全管控要求。例如图1：控制用户Charlie能管理项目B的VPC，而让用户James只能查看项目B中VPC的数据。了解更多请猛戳→给IAM用户授权。当前已有大量云服务支持通过IAM进行资源管理，同时在IAM内置多个云服务系统权限，如果系统权限不满足您的要求您还可以创建自定义策略。为了您的权限管理更加便捷，IAM还在不断探究新方向，总之，权限管理这一块，IAM为您承包！图1 权限管理模型账号安全管理--全力保障你的账号安全当您开始使用华为云的一刻起，保障您的账号安全就是我们首要的任务！IAM为您提供多种账号安全保护功能，您可以根据自己的需求进行开启或关闭：设置登录验证策略和密码策略，从源头保护您的账号。开启敏感操作保护，您及子用户在进行敏感操作时都需要进行身份验证。设置访问控制策略，限制用户只能从特定IP地址区间、网段及VPC Endpoint访问华为云。委托--让其他账号或者云服务管理你的资源账号委托您可以使用IAM提供的委托功能，将自己账号中的资源操作权限委托给更专业、高效的其他华为云账号，被委托的账号可以根据权限代替您进行资源运维工作。当委托关系发生变化时，您可以随时修改或撤消对代运维公司的授权。下图中账号A即为委托方，账号B为被委托方。了解更多请猛戳→委托某个云账号管理您账号下的资源云服务委托由于华为云各服务之间存在业务交互关系，一些云服务需要与其他云服务协同工作，需要您创建云服务委托，将操作权限委托给该服务，让该服务以您的身份使用其他云服务，代替您进行一些资源运维工作。了解更多请猛戳→委托某个云服务管理您账号下的资源例如：在使用Elasticsearch服务时，Elasticsearch服务请求获取您其他云服务和资源的权限，创建委托并授权后，在发生故障转移时，Elasticsearch可以使用这个委托将您的弹性IP绑定到主Elasticsearch实例，帮助您进行资源运维。身份提供商--实现企业员工一键登录上云当您希望本企业员工可以使用企业内部的认证系统登录华为云，而不需要在华为云中重新创建用户时，您可以使用IAM的身份提供商功能，建立您所在企业与华为云的信任关系，通过联合认证使员工使用企业已有账号直接登录华为云，实现单点登录。了解更多请猛戳→身份提供商身份提供商这个词可能您不太熟悉，但您的生活中一定在经常使用这个功能，举个简单的例子：小明今天第一次在“饿得很”外卖平台点外卖，觉得注册账号很麻烦，看到界面上有个按钮“使用某宝账号登录”，点击之后按照引导在某宝授权，就直接登录了“饿得很”外卖，省去了再填一遍个人信息的麻烦。这就是一个典型的联邦身份认证的场景，其中某宝是“身份提供商 IdP”，饿得很外卖平台是“服务提供商 SP”，SP和IdP通过用户授权建立信任关系实现用户单点登录，但SP不获取、储存用户信息，只获取IdP验证用户身份的结果。欢迎围观更多IAM信息IAM控制台IAM产品介绍IAM用户指南IAMAPI参考今天的小课初步介绍了IAM的基本功能，下一期，带你玩转IAM的授权功能！一起期待吧！

报错截图：拿学生的IAM账号进入控制台，实际操作，发现以下问题：默认情况下没有将学生的唯一工作空间设置为当前工作空间，而这个之前是正常的。不知近期是否有变更。此时学生在当前工作空间列表中选择一个后，接下来是可以创建成功的。

发文的版块名：视频服务 - 融合视频发文的标题名：遇到会话超时后，重新走登录认证流程后，紧接着的请求还是会报会话超时错误帖子内容链接：https://bbs.huaweicloud.com/forum/thread-48041-1-1.html

问题描述：ipad 长时间切后台后再切前台，会出现session过期问题，客户端收到对应的错误码（125023001）会重新走后台登录流程，认证成功后，会调用SetGlobalFilterCond、ModifyDeviceInfo和QueryCustomizeConfig，这是三个接口是异步调用的 ，现在这三个接口低概率出现平台再次返回"user session not found or timeout."（125023001）问题，客户端收到回调后重新走认证逻辑，然后又会出现相同的问题，从日志和现象上看只要出现一次就会陷入无限循环。 当前分析结论昨天拉上服务器平台的兄弟，结合客户端日志分析了一下问题1.在认证成功后，客户端请求的三个接口，平台验证session信息是有效的，平台兄弟是这么解释的：“如果session无效，session信息前会带+号”，然后推测头信息里可能没携带“csrfToken”，然后我们在客户端的日志里发现了认证成功后调用了设置头信息的方法。2.回过头再看平台日志，平台兄弟说SetGlobalFilterCond、ModifyDeviceInfo是失败的，QueryCustomizeConfig是成功的，因为前两个接口response body大小都是80个字节大小，QueryCustomizeConfig非常大，肯定是个正常的。3.再看客户端逻辑，客户端收到过期的接口是，SetGlobalFilterCond，收到超时后会调用[MsaAccess cancelPreviousRequests];方法，所以客户端没打印ModifyDeviceInfo和QueryCustomizeConfig的响应日志。 总结一下，如果是csrfToken导致的问题，客户端设置了csrfToken，前面两个接口请求sdk还没有携带csrfToken，第三次请求才携带（或者csrfToken携带的是错误的？）。下方图片即为认证成功后设置新csrfToken和调用其他3个接口的代码。 当时复现该问题的时候是连的生产环境，详细日志没抓到，已经通知一线同事连验收环境进行测试，但是概率较低，目前为止一共出现过2次，现在客户端走的是https协议，无法在客户端进行抓包，日志中也没有打印头信息内容，所以定位问题难度较高。

https://mp.weixin.qq.com/s?__biz=MzA5MjM5OTYzNA==&mid=2247485288&idx=1&sn=77d3e680bb0b42a27f49b7a8b570579a&chksm=906cf615a71b7f0324f29a316a574cbbd9352057c35cc311ce4cb6573d8b056942351293524f&token=109181865&lang=zh_CN#rd

我按照”ModelArts服务工作空间使用指导“来配置自定义策略，但是进行到第二步，新增细粒度策略modelarts-deny策略 时，我完全按照说明来配置，提示错误，我检查了很久没有发现问题。此外，这个使用指导的版本没有和现在的自定义策略界面有一些差异，对新手有些障碍。

请问如果用IAM用户登录华为云，需要给IAM授权哪些权限（包括OBS相关的权限）才能正常操作ModelArts。

此文档的目的是希望能够通过ModelArts服务工作空间功能帮助客户完成需要通过账户（企业账号）管理IAM用户给IAM用户分配资源的场景。如管理者(老师)给使用者(学生)配置权限、分配独立的工作空间给使用者使用、管理使用者的工作空间，管理使用者工作空间的配额；而使用仅能使用分配给自己的工作空间，并在此工作空间创建作业、模型、服务等；不同工作空间不会相互干扰。具体操作请参见附件。适配过程中有任何问题请留言，我们会及时反馈。-----------------------------------------------------------------------------------------------------------------------------2020-04-30 更新：   1.默认单个账号最多创建200工作空间，如有需要用户可以通过提工单扩容工作空间数；（当前北京四默认是1000，预计5月30号会变更为200）；   2.可以将默认工作空间设置成private；   3.工作空间仅能被创建者和主账号修改、删除   4.变更前的客户如有以下场景则会受到影响：     有多个账号（主账号或者IAM子账号）用来管理工作空间（增删改），并且A账号专门用来创建工作空间，B账号专门用来修改工作空间。     针对这个场景的解决方案：     用一个账号来管理所有工作空间   注：附件同时更新

您好，当前默认企业第一个人注册的员工即为企业管理员，如需交接并删除自己的管理员权限，请登录管理后台进行如下操作：1、权限交接：企业管理后台->设置->权限管理->新增管理员->全局管理员；2、权限删除：请联系新增管理员进行删除操作，企业管理后台->设置->权限管理->删除；https://welink.huaweicloud.com/contacttenant/#/personmng

与统一身份认证服务的关系ModelArts使用统一身份认证服务（Identity and Access Management，简称IAM）实现认证功能。IAM的更多信息请参见《统一身份认证服务用户指南》。与对象存储服务的关系ModelArts使用对象存储服务（Object Storage Service，简称OBS）存储数据和模型的备份和快照，实现安全、高可靠和低成本的存储需求。OBS的更多信息请参见《对象存储服务用户指南》。与云容器引擎的关系ModelArts使用云容器引擎（Cloud Container Engine，简称CCE）部署模型为在线服务，支持服务的高并发和弹性伸缩需求。CCE的更多信息请参见《云容器引擎服务用户指南》。与批处理服务的关系ModelArts使用批处理服务（Batch Service）的调度能力和分布式云计算能力加速模型的训练。Batch Service的更多信息请参见《批处理服务用户指南》。与图引擎服务的关系ModelArts使用图引擎服务（Graph Engine Service，简称GES）实现可视化工作流。GES的更多信息请参见《图引擎服务用户指南》

尊敬的华为云客户：华为云计划于2019/05/18 00:00-04:00（北京时间）进行统一身份认证服务IAM升级，升级详情如下：升级内容：华为云统一身份认证服务IAM升级；升级影响：升级过程中IAM创建、修改及删除等接口会出现短暂不可用；如您需要通过IAM控制台或API调用进行用户身份认证相关管理操作（创建修改或删除用户、授权、修改账号设置等），以及对云服务执行创建或删除资源等操作，请避开以上升级时间进行。若在以上升级时间内出现上述操作失败，请您间隔10分钟后再进行重试。给您带来的不便，敬请谅解。感谢您对华为云的支持！

尊敬的华为云客户：华为云计划从2019/05/09开始针对IAM服务API接口域名的解析IP地址进行变更。本次变更对以下用户不受影响：1、未通过API接口直接调用华为云IAM服务的用户。2、正常通过公网DNS解析华为云域名来访问IAM服务API，并且未配置白名单或防火墙策略限制的用户。本次变更对以下用户有影响，请做相应排查及调整：1、直接使用IP或在所使用的机器中配置了域名与IP的映射来访问IAM服务API的用户，请修改为使用公网DNS域名解析方式访问。2、所使用的业务系统中，如果有配置白名单或防火墙策略限制不能访问变更后IP网段的用户，请在信任域中添加如下IP网段。具体华为云域名解析IP网段变更详情如下：解析IP网段华为云域名区域名称43.254.0.0/2449.4.112.0/24139.159.208.0/24iam.myhuaweicloud.com(推荐)iam.myhwclouds.com全局43.254.0.0/24iam.cn-north-1.myhuaweicloud.com(推荐)iam.cn-north-1.myhwclouds.com华北-北京一159.138.16.0/24iam.ap-southeast-1.myhuaweicloud.com(推荐)iam.ap-southeast-1.myhwclouds.com香港218.61.208.0/24iam.cn-northeast-1.myhuaweicloud.com(推荐)iam.cn-northeast-1.myhwclouds.com东北-大连如您有任何问题，可随时通过工单或者服务热线（950808）与我们联系。感谢您对华为云的支持！https://www.huaweicloud.com/notice/2018/20190505163251040.html

认证鉴权的时候，通常会获取http header，对会话进行认证。 CSE SDK一般有两种方式拦截：* 通过Handler ： 这种方式的好处是可以获取微服务元数据信息。对于需要做访问控制、获取调用的方法名称等，非常简单。   例子：https://github.com/huaweicse/cse-java-chassis-samples/blob/master/HouseAppWithSpringBoot2/edge-service/src/main/java/com/huawei/cse/houseapp/edge/ApiDispatcher.java  + AuthFilter.java* 通过HttpServerFilter： 这种机制的好处是在Http层拦截请求，可以操作HTTP的header等。   例子：https://github.com/apache/servicecomb-samples/blob/master/porter_lightweight/gateway-service/src/main/java/org/apache/servicecomb/samples/porter/gateway/ApiDispatcher.java  + AuthHandler.java

内部账号，总是提示。。ModelArts.0211 : 该用户上传的AKSK无法通过IAM认证。