访问配置是云SSO用户用来访问RD账号的配置模板,其中包含权限配置。您可以使用该模板为云SSO用户在RD账号上授权。
访问配置组成要素
一个访问配置的主要组成要素如下:
会话持续时间:云SSO用户使用访问配置访问RD账号时,会话最长能保持多久。
初始访问页面:云SSO用户使用访问配置访问RD账号时,初始访问的页面地址。
权限集合:云SSO用户使用访问配置访问RD账号时所具有的权限集合。
系统策略:复用RAM中的系统策略。
内置策略:按照RAM策略语法和结构自定义编写的策略,仅在当前访问配置中生效。
首次部署访问配置
当您为用户或用户组设置在RD账号中的权限时,需要指定一个访问配置。如果没有其他用户或用户组在该RD账号中部署过访问配置,则云SSO将会为您在RD账号的RAM中进行访问配置的部署操作。将要部署的内容如下:
创建一个名为
AliyunReservedSSO-<访问配置名称>
的RAM角色。例如,访问配置TestAccessConfiguration被部署时,对应的RAM角色名为AliyunReservedSSO-TestAccessConfiguration
。如果访问配置中配置了内置策略,则将创建一个名为
AliyunReservedSSO-<访问配置名称>-InlinePolicy
的RAM自定义策略。例如,访问配置TestAccessConfiguration中的内置策略被部署时,对应的RAM自定义策略名为AliyunReservedSSO-TestAccessConfiguration-InlinePolicy
。在RAM角色上,将绑定所有访问配置中指定的系统策略及其内置策略所对应的RAM自定义策略。
如果RD账号中还未进行过任何授权,则将创建一个名为
AliyunReservedSSO-<云SSO目录ID>
的身份提供商,以使云SSO用户可以使用角色SSO登录该RD账号。例如,访问配置所在目录ID是d-x0h0w370****
,则创建的身份提供商名为AliyunReservedSSO-d-x0h0w370****
。
您在RD账号的RAM控制台上可以查看上述RAM角色、自定义策略和身份提供商,但不能对其进行任何修改或删除操作。
关于在RD账号上授权的具体操作,请参见在RD账号上授权。
重新部署访问配置
如果访问配置已经部署在RD账号中,但访问配置发生了以下变更,这些变更不会自动更新到对应的RD账号中,此时需要您手动重新部署才能使变更生效。
- 添加或移除系统策略。
- 创建、修改或删除内置策略。
关于重新部署访问配置的具体操作,请参见重新部署访问配置。
解除访问配置部署
您可以主动解除访问配置在一个RD账号中的部署。例如:
当您移除一个RD账号上使用某访问配置的最后一个授权时,可以选择同时解除访问配置部署。
当您浏览一个RD账号上已经部署的所有访问配置时,可以主动解除不需要的访问配置部署。
当您浏览一个访问配置所部署的所有RD账号时,可以主动解除不需要的访问配置部署。
关于解除访问配置部署的具体操作,请参见解除访问配置部署。