阿里雲目前支援兩種SSO方式:角色SSO和使用者SSO。本文為您介紹這兩種方式的適用情境和選擇依據,協助您根據整體業務需求選擇合適的SSO方式。
角色SSO
角色SSO適用於以下情境:
- 出於管理成本考慮,您不希望在雲端建立和系統管理使用者,從而避免使用者同步帶來的工作量。
- 您希望在使用SSO的同時,仍然保留一部分雲上本機使用者,可以在阿里雲直接登入。雲上本機使用者的用途可以是新功能測試、網路或企業IdP出現問題時的備用登入方式等。
- 您希望根據使用者在本地IdP中加入的組或者使用者的某個特殊屬性,來區分雲上擁有的許可權。當進行許可權調整時,只需要在本地進行分組或屬性的更改。
- 您擁有多個阿里雲帳號但使用統一的企業IdP,希望在企業IdP配置一次,就可以實現到多個阿里雲帳號的SSO。
- 您的各個分公司存在多個IdP,都需要訪問同一個阿里雲帳號,您需要在一個阿里雲帳號內配置多個IdP進行SSO。
- 除了控制台,您也希望使用程式訪問的方式來進行SSO。
使用者SSO
使用者SSO適用於以下情境:
- 您希望從阿里雲的登入頁面開始發起登入,而非直接存取您IdP的登入頁面。
- 您需要使用的雲產品中有部分暫時不支援角色訪問。支援角色訪問(即通過STS訪問)的雲產品請參見支援STS的雲端服務。
- 您的IdP不支援複雜的自訂屬性配置。
- 您沒有上述需要使用角色SSO的業務需求,而又希望盡量簡化IdP配置。