CloudSSO：開始使用雲SSO

前提條件

• 請確保您已開通了資來源目錄，並搭建了企業的多帳號組織圖。

  更多資訊，請參見資來源目錄概述。

• 只能使用資來源目錄的管理帳號或管理帳號下具有許可權的RAM使用者才能開通雲SSO。具體如下：

  • 管理帳號

    管理帳號是資來源目錄的超級管理員，也是開通資來源目錄的初始帳號，對其建立的資來源目錄和成員擁有完全控制許可權。只有經過企業認證的阿里雲帳號才能開通資來源目錄，每個資來源目錄有且只有一個管理帳號。

  • RAM使用者

    您需要為管理帳號中的RAM使用者授予系統策略AliyunCloudSSOFullAccess。具體操作，請參見為RAM使用者授權。

使用流程

1. 開通雲SSO並建立目錄。

   具體操作，請參見開通雲SSO和建立目錄。

2. 系統管理使用者和使用者組。

   提供以下兩種方式，您可以任選其一：

   • 同步企業本地身份管理系統，即企業IdP（Identity Provider）中的使用者或使用者組（推薦）。

     1. 在雲SSO啟用SCIM同步並建立SCIM同步密鑰。

        具體操作，請參見啟用SCIM同步和建立SCIM密鑰。

     2. 在企業IdP配置使用者和使用者組同步。

        更多資訊，請參見配置樣本。

        說明

        企業IdP必須支援SCIM協議，才能完成同步。

   • 在雲SSO建立使用者或使用者組。

     具體操作，請參見建立使用者、建立使用者組和為使用者組添加使用者。

3. 設定使用者登入方式。

   提供以下兩種方式，您可以任選其一。啟用一種登入方式，則另一種會自動禁用。

   • 單點登入（SSO登入）。

     更多資訊，請參見啟用單點登入和配置樣本。

   • 使用者名稱和密碼登入。

     具體操作，請參見啟用使用者名稱密碼登入。

4. 建立訪問配置。

   訪問配置是使用者用來訪問阿里雲帳號的配置模板，包含存取權限、會話期間和初始訪問頁面等資訊。更多資訊，請參見訪問配置概述和建立訪問配置。

5. 授權使用者或使用者組對資來源目錄（RD）帳號進行訪問。

   根據RD目錄結構，您可以在每個RD帳號上設定允許訪問的使用者或使用者組，以及存取權限（訪問配置）。該操作既適用於RD企業管理帳號，也適用於RD成員帳號。具體操作，請參見在RD帳號上授權。

6. 使用者訪問阿里雲。

   1. 根據配置的登入方式，使用使用者名稱和密碼或SSO登入，進入雲SSO使用者門戶。

   2. 根據許可權配置，使用者可以查看自己有權訪問的所有RD帳號列表。

   3. 登入目標RD帳號，根據許可權配置，訪問有許可權的阿里雲資源。

   具體操作，請參見登入雲SSO使用者門戶並訪問阿里雲資源。

配置樣本