阿里云目前支持两种 SSO 方式:角色 SSO 和用户 SSO。本文为您介绍这两种方式的适用场景和选择依据,帮助您根据整体业务需求选择合适的 SSO 方式。

角色 SSO

角色 SSO 适用于以下场景:
  • 出于管理成本考虑,您不希望在云端创建和管理用户,从而避免用户同步带来的工作量。
  • 您希望在使用 SSO 的同时,仍然保留一部分云上本地用户,可以在阿里云直接登录。云上本地用户的用途可以是新功能测试、网络或企业IdP出现问题时的备用登录方式等。
  • 您希望根据用户在本地IdP中加入的组,或者用户的某个特殊属性,来区分他们在云上的权限。当进行权限调整时,只需要在本地进行分组或属性的更改。
  • 您拥有多个阿里云账号,但使用统一的企业 IdP,希望在企业 IdP 配置一次,就可以实现到多个阿里云账号的 SSO。
  • 您的各个分支机构存在多个 IdP,都需要访问同一个阿里云账号,您需要在一个阿里云账号内配置多个 IdP 进行 SSO。
  • 除了控制台,您也希望使用程序访问的方式来进行 SSO。

用户 SSO

用户 SSO 适用于以下场景:
  • 您希望从阿里云的登录页面开始发起登录,而非直接访问您 IdP 的登录页面。
  • 您需要使用的云产品中有部分暂时不支持角色访问。支持角色访问(即通过 STS 访问)的云产品请参见 支持 RAM 的云服务
  • 您的 IdP 不支持复杂的自定义属性配置。
  • 您没有上述需要使用角色 SSO 的业务需求,而又希望尽量简化 IdP 配置。