本文为您介绍云SSO的基本概念。
概念 | 说明 |
目录 | 目录是云SSO的实例。使用云SSO必须首先创建一个目录,所有云SSO资源都必须在目录中维护。您需要选择一个地域作为云SSO目录的所在地域。阿里云确保您目录中的所有数据只会被保存在该地域,以避免潜在的安全合规风险。目前,一个阿里云账号只能创建一个目录。 |
用户 | 用户是云SSO中的一种身份类型。云SSO提供原生的用户管理功能,您可以将所有访问阿里云的用户统一在此创建和管理。用户可以被授予访问阿里云资源目录(RD)内账号的访问权限。 |
用户组 | 用户组是云SSO中的一种身份类型。您可以将用户加入用户组,然后按照用户组进行授权,方便统一权限管理。 |
多因素认证(MFA) | 多因素认证MFA(Multi-Factor Authentication)是一种简单有效的最佳安全实践,在用户名和密码之外再额外增加一层安全保护。当云SSO用户使用用户名和密码登录时,默认开启多因素认证。目前,云SSO支持MFA设备作为多因素认证方式。更多信息,请参见管理MFA。 |
身份同步 | 云SSO支持基于SCIM协议的用户和用户组同步,称为身份同步,也可以称其为身份部署或身份推送等。使用身份同步,您只需在您的企业身份管理系统中管理身份,而不必在云SSO中手工管理用户、用户组及其成员关系,提升管理效率和安全性。 |
访问配置 | 访问配置是用户用来访问阿里云账号的配置模板,其中包含权限配置。您可以使用该模板为用户针对RD账号进行授权。更多信息,请参见访问配置概述。 |
资源目录(RD) | 资源目录RD(Resource Directory)是阿里云面向企业客户提供的一套多级资源(账号)关系管理服务。更多信息,请参见资源目录概述。 |
RD账号 | RD账号即资源目录账号,包括以下两类:
|
多账号授权 | 根据RD目录结构,您可以为每个RD账号设置允许访问的用户或用户组,以及他们的访问权限(访问配置)。您可以为RD企业管理账号授权,也可以为任意一个成员账号授权。更多信息,请参见多账号授权概述。 |
访问配置部署 | 在为用户针对RD账号进行授权时,您指定的访问配置中的配置模板将会被部署到相关RD账号中,成为该RD账号中的RAM角色、RAM策略和RAM角色的单点登录身份提供商。相应的,您也可以解除访问配置在一个RD账号中的部署。如果访问配置已经部署在RD账号中,但访问配置发生了变更,这些变更不会自动更新到对应的RD账号中,需要您手动重新部署才能使变更生效。更多信息,请参见访问配置概述。 |
异步任务 | 当部署或解除部署访问配置时,云SSO将会发起异步任务执行此操作。包含以下四种场景:
您可以在控制台的历史任务页面查看最近7天的异步任务。 |
用户门户 | 用户门户是云SSO用户登录和使用阿里云资源的独立门户。云SSO用户登录用户门户后,可以查看自己有权限访问的RD账号,并以某个访问配置设置的权限跳转到阿里云控制台。您可以在云SSO控制台的概览页面,查看本目录的用户门户地址(URL)。更多信息,请参见登录用户门户并访问阿里云资源。 |
云SSO管理员 | 云SSO管理员是指开通云SSO的管理账号和其下具有管理云SSO权限(AliyunCloudSSOFullAccess)的RAM用户。 |
单点登录(SSO) | 云SSO支持基于SAML 2.0的单点登录SSO(Single Sign On)。阿里云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过单点登录,企业员工可以使用IdP中的用户身份直接登录云SSO。IdP和SP的具体含义如下:
更多信息,请参见单点登录概述。 |