什么是云SSO
云SSO提供基于阿里云資源目錄RD(Resource Directory)的多賬號統一身份管理與訪問控制。使用云SSO,您可以統一管理企業中使用阿里云的用戶,一次性配置企業身份管理系統與阿里云的單點登錄,并統一配置所有用戶對RD賬號的訪問權限。
前置概念
閱讀本文前,您可能需要了解概念:什么是SSO(單點登錄)?
功能特性
統一管理使用阿里云的用戶
云SSO為您提供一個原生的身份目錄,您可以將所有需要訪問阿里云的用戶在該目錄中維護。您既可以手動管理用戶與用戶組,也可以借助SCIM協議從您的企業身份管理系統同步用戶和用戶組到云SSO身份目錄中。
與企業身份管理系統進行統一單點登錄配置
您雖然可以選擇讓云SSO身份目錄中的用戶使用其用戶名、密碼和多因素認證(MFA)的方式訪問阿里云,但更好的方式是與企業身份管理系統進行單點登錄(SSO),以最大限度地優化用戶體驗,同時降低安全風險。云SSO支持基于SAML 2.0協議的企業級單點登錄,只需要在云SSO和企業身份管理系統中進行一次性地簡單配置,即可完成單點登錄配置。
統一配置所有用戶對RD賬號的訪問權限
借助與RD的深度集成,在云SSO中您可以統一配置用戶或用戶組對整個RD內的任意成員賬號的訪問權限。云SSO管理員可以根據RD的組織結構,選擇不同成員賬號為其分配可訪問的身份(用戶或用戶組)以及具體的訪問權限,且該權限可以隨時修改和刪除。
統一的用戶門戶
云SSO提供統一的用戶門戶,企業員工只要登錄到用戶門戶,即可一站式獲取其具有權限的所有RD賬號列表,然后直接登錄到阿里云控制臺,并可在多個賬號間輕松切換。
CLI集成
云SSO已與阿里云CLI進行了集成。用戶除了使用瀏覽器登錄云SSO用戶門戶,也可以通過阿里云CLI登錄云SSO。登錄后,選擇對應RD賬號和權限,通過CLI命令行訪問阿里云資源。
服務免費
云SSO為免費產品,開通后即可正常使用,不收取任何費用。
產品架構
云SSO用戶可以通過RAM角色或RAM用戶訪問RD賬號的云資源。
兩種訪問方式的適用場景如下表所示。
訪問方式 | 描述 | 適用場景 | 相關文檔 |
以RAM角色登錄 | 企業在云SSO集中管理訪問阿里云的用戶,通過訪問配置和多賬號授權,實現用戶通過單點登錄的方式登錄到RD賬號內的RAM角色,然后訪問該RD賬號中的云資源。 | 適用支持RAM角色的云服務。 | |
以RAM用戶登錄 | 企業在云SSO集中管理訪問阿里云的用戶,通過RAM用戶同步,實現用戶登錄到RD賬號內的RAM用戶,然后訪問該RD賬號中的云資源。 | 適用不支持RAM角色的云服務。 |
同一個云SSO用戶如果通過訪問配置在RD賬號上配置了授權,同時又配置了RAM用戶同步,則該云SSO用戶可以通過RAM角色和RAM用戶兩種方式訪問RD賬號的云資源。
云SSO與訪問控制(RAM)的關系
訪問控制(RAM)提供單個阿里云賬號內的身份和權限管理。RAM提供身份管理(包括用戶、用戶組和角色)、權限管理和單點登錄配置,但這些僅局限在一個阿里云賬號內生效。當您的企業擁有多個阿里云賬號時,您需要在每個阿里云賬號中使用RAM單獨管理身份、單獨進行SSO配置和單獨配置權限,這給管理工作帶來極大的挑戰。
云SSO在RD范圍內提供多賬號統一身份管理和權限管理。您可以在云SSO中進行一次性統一配置,即可完成面向多個阿里云賬號的身份管理、單點登錄和權限配置。為了實現這一目標,云SSO提供了獨立于RAM的身份目錄,但其權限管理復用了RAM中的系統策略和自定義策略語法。更多信息,請參見訪問配置概述。此外,云SSO用戶對RD賬號的訪問,本質上是云SSO用戶扮演每個RD賬號中的RAM角色進行的再一次單點登錄。更多信息,請參見多賬號授權概述。
當您開始使用云SSO進行RD賬號統一的身份權限管理時,您將不再需要使用RAM來對單個賬號進行管理。但是,在某些情況下,例如:您有已經存在的RAM用戶、RAM角色、或您需要使用訪問密鑰對阿里云資源進行程序訪問時,則您仍然可以繼續在單個賬號內使用RAM。使用云SSO不會限制RAM原來的功能,兩個服務可以同時使用。