在雲SSO中,您可以根據資來源目錄(RD)的目錄結構,為每個RD帳號設定允許訪問的使用者或使用者組,以及對應的存取權限(訪問配置)。您可以為RD企業管理帳號授權,也可以為任意一個成員帳號授權。
多帳號授權方式
雲SSO管理員可以使用以下幾種方式來進行多帳號授權:
在單個RD帳號上授權
在雲SSO控制台的多帳號許可權管理頁面,您可以進入某個RD帳號的詳情頁面,使用配置許可權功能,選擇計劃訪問該RD帳號的雲SSO身份(使用者或使用者組)和訪問配置,完成授權。
您也可以查看該RD帳號上的已有授權,並根據頁面提示修改某個雲SSO身份的許可權,或者移除已有的授權。
在多個RD帳號上大量授權
如果您想對多個RD帳號、多個雲SSO身份和多個訪問配置進行一次性大量授權,您可以進入雲SSO控制台的多帳號許可權管理頁面,瀏覽RD帳號分類樹並進行以下操作:
在RD分類樹中選擇一個或多個RD帳號,作為授權目標。
選擇一個或多個雲SSO身份。
選擇一個或多個訪問配置。
單擊開始配置,雲SSO服務將為您批量完成授權。
在大量授權中,對於部分已經存在的大量授權,如果對其進行重複授權,會操作失敗。但同一批中的新增授權會操作成功。
多帳號授權說明
在每一次添加或移除許可權的過程中,雲SSO將會針對每個三元組(身份-RD帳號-訪問配置),啟動一個非同步任務,並完成以下操作:
添加許可權時,如果訪問配置還未被部署到RD帳號,將會完成部署操作。更多資訊,請參見在RD帳號上授權。
移除許可權時,如果移除的是該RD帳號上使用該訪問配置的最後一個授權,您可以選擇同時解除訪問配置部署。
完成部署或解除部署後,雲SSO將會設定使用者或使用者組對RD帳號的存取權限。
您可以在授權頁面等待一會,查看授權結果。您也可以在歷史任務頁面查看每個任務的完成情況。
使用授權
雲SSO管理員完成授權後,當雲SSO使用者登入使用者門戶時,可以查看自己有許可權訪問的RD帳號列表,以及在每個RD帳號中可以使用的訪問配置,然後以該訪問配置對應的許可權訪問RD帳號的資源。具體操作,請參見登入雲SSO使用者門戶並訪問阿里雲資源。