訪問配置概述
訪問配置是云SSO用戶用來訪問RD賬號的配置模板,其中包含權限配置。您可以使用該模板為云SSO用戶在RD賬號上授權。
訪問配置組成要素
一個訪問配置的主要組成要素如下:
會話持續時間:云SSO用戶使用訪問配置訪問RD賬號時,會話最長能保持多久。
初始訪問頁面:云SSO用戶使用訪問配置訪問RD賬號時,初始訪問的頁面地址。
權限集合:云SSO用戶使用訪問配置訪問RD賬號時所具有的權限集合。
系統策略:復用RAM中的系統策略。
內置策略:按照RAM策略語法和結構自定義編寫的策略,僅在當前訪問配置中生效。
首次部署訪問配置
當您為用戶或用戶組設置在RD賬號中的權限時,需要指定一個訪問配置。如果沒有其他用戶或用戶組在該RD賬號中部署過訪問配置,則云SSO將會為您在RD賬號的RAM中進行訪問配置的部署操作。將要部署的內容如下:
創建一個名為
AliyunReservedSSO-<訪問配置名稱>的RAM角色。例如,訪問配置TestAccessConfiguration被部署時,對應的RAM角色名為AliyunReservedSSO-TestAccessConfiguration。如果訪問配置中配置了內置策略,則將創建一個名為
AliyunReservedSSO-<訪問配置名稱>-InlinePolicy的RAM自定義策略。例如,訪問配置TestAccessConfiguration中的內置策略被部署時,對應的RAM自定義策略名為AliyunReservedSSO-TestAccessConfiguration-InlinePolicy。在RAM角色上,將綁定所有訪問配置中指定的系統策略及其內置策略所對應的RAM自定義策略。
如果RD賬號中還未進行過任何授權,則將創建一個名為
AliyunReservedSSO-<云SSO目錄ID>的身份提供商,以使云SSO用戶可以使用角色SSO登錄該RD賬號。例如,訪問配置所在目錄ID是d-x0h0w370****,則創建的身份提供商名為AliyunReservedSSO-d-x0h0w370****。
您在RD賬號的RAM控制臺上可以查看上述RAM角色、自定義策略和身份提供商,但不能對其進行任何修改或刪除操作。
關于在RD賬號上授權的具體操作,請參見在RD賬號上授權。
重新部署訪問配置
如果訪問配置已經部署在RD賬號中,但訪問配置發生了以下變更,這些變更不會自動更新到對應的RD賬號中,此時需要您手動重新部署才能使變更生效。
- 添加或移除系統策略。
- 創建、修改或刪除內置策略。
關于重新部署訪問配置的具體操作,請參見重新部署訪問配置。
解除訪問配置部署
您可以主動解除訪問配置在一個RD賬號中的部署。例如:
當您移除一個RD賬號上使用某訪問配置的最后一個授權時,可以選擇同時解除訪問配置部署。
當您瀏覽一個RD賬號上已經部署的所有訪問配置時,可以主動解除不需要的訪問配置部署。
當您瀏覽一個訪問配置所部署的所有RD賬號時,可以主動解除不需要的訪問配置部署。
關于解除訪問配置部署的具體操作,請參見解除訪問配置部署。