基本概念
本文為您介紹云SSO的基本概念。
概念 | 說明 |
目錄 | 目錄是云SSO的實例。使用云SSO必須首先創建一個目錄,所有云SSO資源都必須在目錄中維護。您需要選擇一個地域作為云SSO目錄的所在地域。阿里云確保您目錄中的所有數據只會被保存在該地域,以避免潛在的安全合規風險。目前,一個阿里云賬號只能創建一個目錄。 |
用戶 | 用戶是云SSO中的一種身份類型。云SSO提供原生的用戶管理功能,您可以將所有訪問阿里云的用戶統一在此創建和管理。用戶可以被授予訪問阿里云資源目錄(RD)內賬號的訪問權限。 |
用戶組 | 用戶組是云SSO中的一種身份類型。您可以將用戶加入用戶組,然后按照用戶組進行授權,方便統一權限管理。 |
多因素認證(MFA) | 多因素認證MFA(Multi-Factor Authentication)是一種簡單有效的最佳安全實踐,在用戶名和密碼之外再額外增加一層安全保護。當云SSO用戶使用用戶名和密碼登錄時,默認開啟多因素認證。目前,云SSO支持MFA設備作為多因素認證方式。更多信息,請參見管理MFA。 |
身份同步 | 云SSO支持基于SCIM協議的用戶和用戶組同步,稱為身份同步,也可以稱其為身份部署或身份推送等。使用身份同步,您只需在您的企業身份管理系統中管理身份,而不必在云SSO中手工管理用戶、用戶組及其成員關系,提升管理效率和安全性。 |
訪問配置 | 訪問配置是用戶用來訪問阿里云賬號的配置模板,其中包含權限配置。您可以使用該模板為用戶針對RD賬號進行授權。更多信息,請參見訪問配置概述。 |
資源目錄(RD) | 資源目錄RD(Resource Directory)是阿里云面向企業客戶提供的一套多級資源(賬號)關系管理服務。更多信息,請參見資源目錄概述。 |
RD賬號 | RD賬號即資源目錄賬號,包括以下兩類:
|
多賬號授權 | 根據RD目錄結構,您可以為每個RD賬號設置允許訪問的用戶或用戶組,以及他們的訪問權限(訪問配置)。您可以為RD企業管理賬號授權,也可以為任意一個成員賬號授權。更多信息,請參見多賬號授權概述。 |
訪問配置部署 | 在為用戶針對RD賬號進行授權時,您指定的訪問配置中的配置模板將會被部署到相關RD賬號中,成為該RD賬號中的RAM角色、RAM策略和RAM角色的單點登錄身份提供商。相應的,您也可以解除訪問配置在一個RD賬號中的部署。如果訪問配置已經部署在RD賬號中,但訪問配置發生了變更,這些變更不會自動更新到對應的RD賬號中,需要您手動重新部署才能使變更生效。更多信息,請參見訪問配置概述。 |
異步任務 | 當部署或解除部署訪問配置時,云SSO將會發起異步任務執行此操作。包含以下四種場景:
您可以在控制臺的歷史任務頁面查看最近7天的異步任務。 |
用戶門戶 | 用戶門戶是云SSO用戶登錄和使用阿里云資源的獨立門戶。云SSO用戶登錄用戶門戶后,可以查看自己有權限訪問的RD賬號,并以某個訪問配置設置的權限跳轉到阿里云控制臺。您可以在云SSO控制臺的概覽頁面,查看本目錄的用戶門戶地址(URL)。更多信息,請參見登錄用戶門戶并訪問阿里云資源。 |
云SSO管理員 | 云SSO管理員是指開通云SSO的管理賬號和其下具有管理云SSO權限(AliyunCloudSSOFullAccess)的RAM用戶。 |
單點登錄(SSO) | 云SSO支持基于SAML 2.0的單點登錄SSO(Single Sign On)。阿里云是服務提供商(SP),而企業自有的身份管理系統則是身份提供商(IdP)。通過單點登錄,企業員工可以使用IdP中的用戶身份直接登錄云SSO。IdP和SP的具體含義如下:
更多信息,請參見單點登錄概述。 |