訪問配置是雲SSO使用者用來訪問RD帳號的配置模板,其中包含許可權配置。您可以使用該模板為雲SSO使用者在RD帳號上授權。
訪問配置組成要素
一個訪問配置的主要組成要素如下:
會話期間:雲SSO使用者使用訪問配置訪問RD帳號時,會話最長能保持多久。
初始訪問頁面:雲SSO使用者使用訪問配置訪問RD帳號時,初始訪問的頁面地址。
許可權集合:雲SSO使用者使用訪問配置訪問RD帳號時所具有的許可權集合。
系統策略:複用RAM中的系統策略。
內建策略:按照RAM策略文法和結構自訂編寫的策略,僅在當前訪問配置中生效。
首次部署訪問配置
當您為使用者或使用者組設定在RD帳號中的許可權時,需要指定一個訪問配置。如果沒有其他使用者或使用者組在該RD帳號中部署過訪問配置,則雲SSO將會為您在RD帳號的RAM中進行訪問配置的部署操作。將要部署的內容如下:
建立一個名為
AliyunReservedSSO-<訪問配置名稱>的RAM角色。例如,訪問配置TestAccessConfiguration被部署時,對應的RAM角色名稱為AliyunReservedSSO-TestAccessConfiguration。如果訪問配置中配置了內建策略,則將建立一個名為
AliyunReservedSSO-<訪問配置名稱>-InlinePolicy的RAM自訂策略。例如,訪問配置TestAccessConfiguration中的內建策略被部署時,對應的RAM自訂策略名稱為AliyunReservedSSO-TestAccessConfiguration-InlinePolicy。在RAM角色上,將綁定所有訪問配置中指定的系統策略及其內建策略所對應的RAM自訂策略。
如果RD帳號中還未進行過任何授權,則將建立一個名為
AliyunReservedSSO-<雲SSO目錄ID>的身份供應商,以使雲SSO使用者可以使用角色SSO登入該RD帳號。例如,訪問配置所在目錄ID是d-x0h0w370****,則建立的身份供應商名為AliyunReservedSSO-d-x0h0w370****。
您在RD帳號的RAM控制台上可以查看上述RAM角色、自訂策略和身份供應商,但不能對其進行任何修改或刪除操作。
關於在RD帳號上授權的具體操作,請參見在RD帳號上授權。
重新部署訪問配置
如果訪問配置已經部署在RD帳號中,但訪問配置發生了以下變更,這些變更不會自動更新到對應的RD帳號中,此時需要您手動重新部署才能使變更生效。
- 添加或移除系統策略。
- 建立、修改或刪除內建策略。
關於重新部署訪問配置的具體操作,請參見重新部署訪問配置。
解除訪問配置部署
您可以主動解除訪問配置在一個RD帳號中的部署。例如:
當您移除一個RD帳號上使用某訪問配置的最後一個授權時,可以選擇同時解除訪問配置部署。
當您瀏覽一個RD帳號上已經部署的所有訪問配置時,可以主動解除不需要的訪問配置部署。
當您瀏覽一個訪問配置所部署的所有RD帳號時,可以主動解除不需要的訪問配置部署。
關於解除訪問配置部署的具體操作,請參見解除訪問配置部署。