管理雲SSO委派管理員帳號

應用情境

企業希望僅有進階管理員（例如：營運主管、中心營運人員）可以訪問資來源目錄管理帳號，身份許可權的管理員可以管理多帳號身份許可權，但不需要訪問資來源目錄管理帳號。此時，您可以指定資來源目錄成員作為雲SSO委派管理員帳號，通過該帳號管理雲SSO身份許可權（雲SSO身份許可權資料歸屬於資來源目錄管理帳號，委派管理員帳號僅有部分操作許可權）。

關於委派管理員帳號的基本概念，請參見什麼是委派管理員帳號。

使用限制

• 最多允許為雲SSO添加1個委派管理員帳號。

• 雲SSO委派管理員帳號可以對雲SSO進行管理操作，但以下操作除外。

  • 開啟和關閉雲SSO。

  • 建立和刪除雲SSO目錄。

  • 在資來源目錄添加和移除委派管理員帳號。

  • 在雲SSO啟用和禁用委派管理員帳號。

  • 為雲SSO使用者、使用者組授予資來源目錄管理帳號的訪問配置許可權。

  • 修改已經部署在資來源目錄管理帳號的訪問配置。

  • 配置RAM使用者同步，將雲SSO使用者同步到資來源目錄管理帳號。

  • 修改目標為資來源目錄管理帳號的RAM使用者同步。

  • 刪除、重試目標為資來源目錄管理帳號的RAM使用者同步事件。

添加和啟用委派管理員帳號

1. 使用資來源目錄的管理帳號，在資來源目錄控制台，指定一個資來源目錄成員為雲SSO委派管理員帳號。

   1. 使用資來源目錄管理帳號登入資源管理主控台。

   2. 在左側導覽列，選擇資來源目錄 > 可信服務。

   3. 在可信服務頁面，單擊雲SSO服務操作列的管理。

      

   4. 在委派管理員帳號地區，單擊添加。
   5. 在添加委派管理員帳號面板，選中成員。

   6. 單擊確定。

2. 使用雲SSO管理員，在雲SSO控制台，啟用雲SSO委派管理員帳號。

   1. 使用雲SSO管理員登入雲SSO控制台。

   2. 在左側導覽列，單擊設定。

   3. 在全域管理頁簽，單擊目標委派管理員帳號操作列的啟用委派。

      

禁用或移除委派管理員帳號

禁用或移除雲SSO委派管理員帳號後，將不能通過該帳號管理雲SSO。

禁用委派管理員帳號

如果您想短期暫停雲SSO委派管理員對雲SSO的管理操作，您可以在雲SSO控制台直接禁用委派管理員帳號。禁用後，您也可以隨時啟用該委派管理員帳號。

1. 使用雲SSO管理員登入雲SSO控制台。

2. 在左側導覽列，單擊設定。

3. 在全域管理頁簽，單擊目標委派管理員帳號操作列的禁用委派。

   

移除委派管理員帳號

如果您想更換委派管理員帳號，您可以在資來源目錄控制台移除已有的委派管理員帳號，重新添加新的委派管理員帳號。

1. 使用資來源目錄管理帳號登入資源管理主控台。

2. 在左側導覽列，選擇資來源目錄 > 可信服務。

3. 在可信服務頁面，單擊雲SSO服務操作列的管理。

   

4. 在委派管理員帳號地區，單擊目標帳號操作列的移除。

5. 在移除警告對話方塊，單擊繼續。

訪問委派管理員帳號

為雲SSO添加和啟用委派管理員帳號後，您就可以使用委派管理員帳號管理雲SSO。

因為委派管理員帳號本身就是資來源目錄的成員，所以您可以按照訪問資來源目錄成員的方式訪問委派管理員帳號。具體的訪問方式，請參見成員登入阿里雲控制台。

以下將通過雲SSO訪問委派管理員帳號的方式進行操作，假設您已將資來源目錄的成員（CloudSSODA）設定為雲SSO的委派管理員，現在您想通過雲SSO使用者（Alice）訪問委派管理員（CloudSSODA），然後對委派管理員帳號下的雲SSO執行管理操作。操作步驟如下：

1. 雲SSO管理員為雲SSO使用者（Alice）授予委派管理員帳號（CloudSSODA）下雲SSO的系統管理權限。

   1. 建立訪問配置。

      訪問配置使用系統策略中的AliyunCloudSSOFullAccess。具體操作，請參見建立訪問配置。

   2. 在委派管理員帳號上授權。

      為雲SSO使用者（Alice）在委派管理員帳號（CloudSSODA）上部署訪問配置，實現雲SSO的使用者可以訪問委派管理員帳號下的雲SSO資源。

      具體操作，請參見在RD帳號上授權。

2. 雲SSO使用者（Alice）登入雲SSO使用者門戶，通過委派管理員帳號（CloudSSODA）管理雲SSO資源。

   具體操作，請參見登入雲SSO使用者門戶並訪問阿里雲資源。