：使用云SSO统一管理企业多账号的身份和权限

应用场景

云SSO提供基于阿里云资源目录RD（Resource Directory）的多账号统一身份管理与访问控制。云SSO管理员可以创建多个云SSO用户，统一配置云SSO用户对RD内任意成员的访问权限（访问配置）。当云SSO用户登录用户门户时，可以查看自己有权限访问的RD成员列表，以及在每个RD成员中拥有的访问权限（访问配置），然后以访问配置中的权限访问RD成员中对应资源。

本文将提供一个示例，使用RD管理账号在云SSO中创建一个用户（user1），在RD成员（Sandbox Account）上部署访问配置，该访问配置仅定义了VPC的管理权限，实现云SSO的用户（user1）仅能访问RD成员（Sandbox Account）中的VPC资源。

前提条件

• 请确保您已开通了资源目录，并搭建了企业的多账号组织结构。

  更多信息，请参见资源目录概述和开通资源目录。

• 请确保您已开通了云SSO并创建了目录。

  更多信息，请参见什么是云SSO、开通云SSO和创建目录。

• 请使用RD管理账号或RD管理账号中拥有AliyunCloudSSOFullAccess权限的RAM用户操作。

操作步骤

1. 登录云SSO控制台。

2. 在云SSO中创建用户。

   本示例中，将创建一个名为user1的用户。

   具体操作，请参见创建用户。

3. 启用云SSO的用户名和密码登录方式。

   具体操作，请参见启用用户名密码登录。

4. 创建访问配置。

   本示例中，创建的访问配置中绑定系统策略（AliyunVPCFullAccess），不使用内置策略。

   更多信息，请参见访问配置概述和创建访问配置。

5. 授权云SSO用户对RD成员进行访问。

   本示例中，将授权云SSO用户（user1）访问RD成员（Sandbox Account）中的VPC资源。

   具体操作，请参见在RD账号上授权。

6. 云SSO用户访问RD成员中的资源。

   1. 使用云SSO用户（user1）的用户名和密码登录云SSO用户门户。

   2. 登录目标RD成员（Sandbox Account）。

   3. 以RAM角色身份访问RD成员（Sandbox Account）中的VPC资源。

   具体操作，请参见登录用户门户并访问阿里云资源。

后续步骤

您可以参照上述方法创建多个云SSO用户和访问配置，在多个RD成员上授权，实现多账号身份和权限的统一管理。也可以同步企业本地身份管理系统（IdP）中的用户，通过单点登录的方式访问RD成员中的资源。更多信息，请参见什么是云SSO。