全部產品
Search
文件中心

CloudSSO:訪問配置概述

更新時間:Jul 13, 2024

訪問配置是雲SSO使用者用來訪問RD帳號的配置模板,其中包含許可權配置。您可以使用該模板為雲SSO使用者在RD帳號上授權。

訪問配置組成要素

一個訪問配置的主要組成要素如下:

  • 會話期間:雲SSO使用者使用訪問配置訪問RD帳號時,會話最長能保持多久。

  • 初始訪問頁面:雲SSO使用者使用訪問配置訪問RD帳號時,初始訪問的頁面地址。

  • 許可權集合:雲SSO使用者使用訪問配置訪問RD帳號時所具有的許可權集合。

    • 系統策略:複用RAM中的系統策略。

    • 內建策略:按照RAM策略文法和結構自訂編寫的策略,僅在當前訪問配置中生效。

首次部署訪問配置

當您為使用者或使用者組設定在RD帳號中的許可權時,需要指定一個訪問配置。如果沒有其他使用者或使用者組在該RD帳號中部署過訪問配置,則雲SSO將會為您在RD帳號的RAM中進行訪問配置的部署操作。將要部署的內容如下:

  • 建立一個名為AliyunReservedSSO-<訪問配置名稱>的RAM角色。例如,訪問配置TestAccessConfiguration被部署時,對應的RAM角色名稱為AliyunReservedSSO-TestAccessConfiguration

  • 如果訪問配置中配置了內建策略,則將建立一個名為AliyunReservedSSO-<訪問配置名稱>-InlinePolicy的RAM自訂策略。例如,訪問配置TestAccessConfiguration中的內建策略被部署時,對應的RAM自訂策略名稱為AliyunReservedSSO-TestAccessConfiguration-InlinePolicy

  • 在RAM角色上,將綁定所有訪問配置中指定的系統策略及其內建策略所對應的RAM自訂策略。

  • 如果RD帳號中還未進行過任何授權,則將建立一個名為AliyunReservedSSO-<雲SSO目錄ID>的身份供應商,以使雲SSO使用者可以使用角色SSO登入該RD帳號。例如,訪問配置所在目錄ID是d-x0h0w370****,則建立的身份供應商名為AliyunReservedSSO-d-x0h0w370****

您在RD帳號的RAM控制台上可以查看上述RAM角色、自訂策略和身份供應商,但不能對其進行任何修改或刪除操作。

關於在RD帳號上授權的具體操作,請參見在RD帳號上授權

重新部署訪問配置

如果訪問配置已經部署在RD帳號中,但訪問配置發生了以下變更,這些變更不會自動更新到對應的RD帳號中,此時需要您手動重新部署才能使變更生效。

  • 添加或移除系統策略。
  • 建立、修改或刪除內建策略。
說明 修改會話期間和初始訪問頁面無需重新部署訪問配置。

關於重新部署訪問配置的具體操作,請參見重新部署訪問配置

解除訪問配置部署

您可以主動解除訪問配置在一個RD帳號中的部署。例如:

  • 當您移除一個RD帳號上使用某訪問配置的最後一個授權時,可以選擇同時解除訪問配置部署。

  • 當您瀏覽一個RD帳號上已經部署的所有訪問配置時,可以主動解除不需要的訪問配置部署。

  • 當您瀏覽一個訪問配置所部署的所有RD帳號時,可以主動解除不需要的訪問配置部署。

關於解除訪問配置部署的具體操作,請參見解除訪問配置部署

相關文檔