雲SSO提供基於阿里雲資來源目錄RD(Resource Directory)的多帳號統一身份管理與存取控制。使用雲SSO,您可以統一管理企業中使用阿里雲的使用者,一次性配置企業身份管理系統與阿里雲的單點登入,並統一配置所有使用者對RD帳號的存取權限。
功能特性
統一管理使用阿里雲的使用者
雲SSO為您提供一個原生的身份目錄,您可以將所有需要訪問阿里雲的使用者在該目錄中維護。您既可以手動系統管理使用者與使用者組,也可以藉助SCIM協議從您的企業身份管理系統同步處理的使用者和使用者組到雲SSO身份目錄中。
與企業身份管理系統進行統一單點登入配置
您雖然可以選擇讓雲SSO身份目錄中的使用者使用其使用者名稱、密碼和多因素認證(MFA)的方式訪問阿里雲,但更好的方式是與企業身份管理系統進行單點登入(SSO),以最大限度地最佳化使用者體驗,同時降低安全風險。雲SSO支援基於SAML 2.0協議的企業級單點登入,只需要在雲SSO和企業身份管理系統中進行一次性地簡單配置,即可完成單點登入配置。
統一配置所有使用者對RD帳號的存取權限
藉助與RD的深度整合,在雲SSO中您可以統一配置使用者或使用者組對整個RD內的任意成員帳號的存取權限。雲SSO管理員可以根據RD的組織圖,選擇不同成員帳號為其分配可訪問的身份(使用者或使用者組)以及具體的存取權限,且該許可權可以隨時修改和刪除。
統一的使用者門戶
雲SSO提供統一的使用者門戶,企業員工只要登入到使用者門戶,即可一站式擷取其具有許可權的所有RD帳號列表,然後直接登入到阿里雲控制台,並可在多個帳號間輕鬆切換。
CLI整合
雲SSO已與阿里雲CLI進行了整合。使用者除了使用瀏覽器登入雲SSO使用者門戶,也可以通過阿里雲CLI登入雲SSO。登入後,選擇對應RD帳號和許可權,通過CLI命令列訪問阿里雲資源。
服務免費
雲SSO為免費產品,開通後即可正常使用,不收取任何費用。
產品架構
雲SSO使用者可以通過RAM角色或RAM使用者訪問RD帳號的雲資源。
兩種訪問方式的適用情境如下表所示。
訪問方式 | 描述 | 適用情境 | 相關文檔 |
以RAM角色登入 | 企業在雲SSO集中管理訪問阿里雲的使用者,通過訪問配置和多帳號授權,實現使用者通過單點登入的方式登入到RD帳號內的RAM角色,然後訪問該RD帳號中的雲資源。 | 適用支援RAM角色的雲端服務。 | |
以RAM使用者登入 | 企業在雲SSO集中管理訪問阿里雲的使用者,通過RAM使用者同步,實現使用者登入到RD帳號內的RAM使用者,然後訪問該RD帳號中的雲資源。 | 適用不支援RAM角色的雲端服務。 |
同一個雲SSO使用者如果通過訪問配置在RD帳號上配置了授權,同時又配置了RAM使用者同步,則該雲SSO使用者可以通過RAM角色和RAM使用者兩種方式訪問RD帳號的雲資源。
雲SSO與存取控制(RAM)的關係
存取控制(RAM)提供單個阿里雲帳號內的身份和許可權管理。RAM提供身份管理(包括使用者、使用者組和角色)、許可權管理和單點登入配置,但這些僅局限在一個阿里雲帳號內生效。當您的企業擁有多個阿里雲帳號時,您需要在每個阿里雲帳號中使用RAM單獨管理身份、單獨進行SSO配置和單獨配置許可權,這給管理工作帶來極大的挑戰。
雲SSO在RD範圍內提供多帳號統一身份管理和許可權管理。您可以在雲SSO中進行一次性統一配置,即可完成面向多個阿里雲帳號的身份管理、單點登入和許可權配置。為了實現這一目標,雲SSO提供了獨立於RAM的身份目錄,但其許可權管理複用了RAM中的系統策略和自訂策略文法。更多資訊,請參見訪問配置概述。此外,雲SSO使用者對RD帳號的訪問,本質上是雲SSO使用者扮演每個RD帳號中的RAM角色進行的再一次單點登入。更多資訊,請參見多帳號授權概述。
當您開始使用雲SSO進行RD帳號統一的身份許可權管理時,您將不再需要使用RAM來對單個帳號進行管理。但是,在某些情況下,例如:您有已經存在的RAM使用者、RAM角色、或您需要使用存取金鑰對阿里雲資源進行程式訪問時,則您仍然可以繼續在單個帳號內使用RAM。使用雲SSO不會限制RAM原來的功能,兩個服務可以同時使用。