Resource Management：使用雲SSO統一管理企業多帳號的身份和許可權

應用情境

雲SSO提供基於阿里雲資來源目錄RD（Resource Directory）的多帳號統一身份管理與存取控制。雲SSO管理員可以建立多個雲SSO使用者，統一配置雲SSO使用者對RD內任意成員的存取權限（訪問配置）。當雲SSO使用者登入使用者門戶時，可以查看自己有許可權訪問的RD成員列表，以及在每個RD成員中擁有的存取權限（訪問配置），然後以訪問配置中的許可權訪問RD成員中對應資源。

本文將提供一個樣本，使用RD管理帳號在雲SSO中建立一個使用者（user1），在RD成員（Sandbox Account）上部署訪問配置，該訪問配置僅定義了VPC的系統管理權限，實現雲SSO的使用者（user1）僅能訪問RD成員（Sandbox Account）中的VPC資源。

前提條件

• 請確保您已開通了資來源目錄，並搭建了企業的多帳號組織圖。

  更多資訊，請參見資來源目錄概述和開通資來源目錄。

• 請確保您已開通了雲SSO並建立了目錄。

  更多資訊，請參見什麼是雲SSO、開通雲SSO和建立目錄。

• 請使用RD管理帳號或RD管理帳號中擁有AliyunCloudSSOFullAccess許可權的RAM使用者操作。

操作步驟

1. 登入雲SSO控制台。

2. 在雲SSO中建立使用者。

   本樣本中，將建立一個名為user1的使用者。

   具體操作，請參見建立使用者。

3. 啟用雲SSO的使用者名稱和密碼登入方式。

   具體操作，請參見啟用使用者名稱密碼登入。

4. 建立訪問配置。

   本樣本中，建立的訪問配置中繫結系統策略（AliyunVPCFullAccess），不使用內建策略。

   更多資訊，請參見訪問配置概述和建立訪問配置。

5. 授權雲SSO使用者對RD成員進行訪問。

   本樣本中，將授權雲SSO使用者（user1）訪問RD成員（Sandbox Account）中的VPC資源。

   具體操作，請參見在RD帳號上授權。

6. 雲SSO使用者訪問RD成員中的資源。

   1. 使用雲SSO使用者（user1）的使用者名稱和密碼登入雲SSO使用者門戶。

   2. 登入目標RD成員（Sandbox Account）。

   3. 以RAM角色身份訪問RD成員（Sandbox Account）中的VPC資源。

   具體操作，請參見登入使用者門戶並訪問阿里雲資源。

後續步驟

您可以參照上述方法建立多個雲SSO使用者和訪問配置，在多個RD成員上授權，實現多帳號身份和許可權的統一管理。也可以同步企業本地身份管理系統（IdP）中的使用者，通過單點登入的方式訪問RD成員中的資源。更多資訊，請參見什麼是雲SSO。