阿里云目前支持两种SSO方式:角色SSO和用户SSO。本文为您介绍这两种方式的适用场景和选择依据,帮助您根据整体业务需求选择合适的SSO方式。

角色SSO

角色SSO适用于以下场景:
  • 出于管理成本考虑,您不希望在云端创建和管理用户,从而避免用户同步带来的工作量。
  • 您希望在使用SSO的同时,仍然保留一部分云上本地用户,可以在阿里云直接登录。云上本地用户的用途可以是新功能测试、网络或企业IdP出现问题时的备用登录方式等。
  • 您希望根据用户在本地IdP中加入的组或者用户的某个特殊属性,来区分云上拥有的权限。当进行权限调整时,只需要在本地进行分组或属性的更改。
  • 您拥有多个阿里云账号,但使用统一的企业IdP,希望在企业IdP配置一次,就可以实现到多个阿里云账号的SSO。
  • 您的各个分支机构存在多个IdP,都需要访问同一个阿里云账号,您需要在一个阿里云账号内配置多个IdP进行SSO。
  • 除了控制台,您也希望使用程序访问的方式来进行SSO。

用户SSO

用户SSO适用于以下场景:
  • 您希望从阿里云的登录页面开始发起登录,而非直接访问您IdP的登录页面。
  • 您需要使用的云产品中有部分暂时不支持角色访问。支持角色访问(即通过STS访问)的云产品请参见支持RAM的云服务
  • 您的IdP不支持复杂的自定义属性配置。
  • 您没有上述需要使用角色SSO的业务需求,而又希望尽量简化IdP配置。