前提條件

• 請確保您已開通了資源目錄，并搭建了企業的多賬號組織結構。

  更多信息，請參見資源目錄概述。

• 只能使用資源目錄的管理賬號或管理賬號下具有權限的RAM用戶才能開通云SSO。具體如下：

  • 管理賬號

    管理賬號是資源目錄的超級管理員，也是開通資源目錄的初始賬號，對其創建的資源目錄和成員擁有完全控制權限。只有經過企業實名認證的阿里云賬號才能開通資源目錄，每個資源目錄有且只有一個管理賬號。

  • RAM用戶

    您需要為管理賬號中的RAM用戶授予系統策略AliyunCloudSSOFullAccess。具體操作，請參見為RAM用戶授權。

使用流程

1. 開通云SSO并創建目錄。

   具體操作，請參見開通云SSO和創建目錄。

2. 管理用戶和用戶組。

   提供以下兩種方式，您可以任選其一：

   • 同步企業本地身份管理系統，即企業IdP（Identity Provider）中的用戶或用戶組（推薦）。

     1. 在云SSO啟用SCIM同步并創建SCIM同步密鑰。

        具體操作，請參見啟用SCIM同步和創建SCIM密鑰。

     2. 在企業IdP配置用戶和用戶組同步。

        更多信息，請參見配置示例。

        說明

        企業IdP必須支持SCIM協議，才能完成同步。

   • 在云SSO創建用戶或用戶組。

     具體操作，請參見創建用戶、創建用戶組和為用戶組添加用戶。

3. 設置用戶登錄方式。

   提供以下兩種方式，您可以任選其一。啟用一種登錄方式，則另一種會自動禁用。

   • 單點登錄（SSO登錄）。

     更多信息，請參見啟用單點登錄和配置示例。

   • 用戶名和密碼登錄。

     具體操作，請參見啟用用戶名密碼登錄。

4. 創建訪問配置。

   訪問配置是用戶用來訪問阿里云賬號的配置模板，包含訪問權限、會話持續時間和初始訪問頁面等信息。更多信息，請參見訪問配置概述和創建訪問配置。

5. 授權用戶或用戶組對資源目錄（RD）賬號進行訪問。

   根據RD目錄結構，您可以在每個RD賬號上設置允許訪問的用戶或用戶組，以及訪問權限（訪問配置）。該操作既適用于RD企業管理賬號，也適用于RD成員賬號。具體操作，請參見在RD賬號上授權。

6. 用戶訪問阿里云。

   1. 根據配置的登錄方式，使用用戶名和密碼或SSO登錄，進入云SSO用戶門戶。

   2. 根據權限配置，用戶可以查看自己有權訪問的所有RD賬號列表。

   3. 登錄目標RD賬號，根據權限配置，訪問有權限的阿里云資源。

   具體操作，請參見登錄用戶門戶并訪問阿里云資源。

配置示例