阿里云用户 SSO 配置完成后,原先RAM的登录入口就不能使用了吗

目前 RAM 开启用户SSO之后,就不能使用原先的控制台密码登录了。如果您使用的是生产的 RAM 账号,可能会影响其他人的使用。

建议您在测试的时候尽量不要使用生产的 RAM 账号 ,使用个人的 RAM 账号配置用户 SSO。

如果您需要使用生产的 RAM 账号,又不希望影响其他人的使用。您可以使用角色 SSO 作为过渡,等到正式使用 IDaaS 时再开启用户SSO 。

是否支持单点登录到其他阿里云应用,如云效、云桌面?

对于使用 RAM 账号体系的阿里云应用,是可以支持单点登录的。配置流程可以参考阿里云用户SSO。配置完成后,填写跳转地址即可。如下图:

针对用户SSO,子用户是否可以管理元数据文件?如果可以管理,子用户需要什么权限

子用户和主用户看到的SSO管理的元数据文件是同一个,如果子用户改了,则主用户看到的元数据文件也改了。子用户如果需要开启管理SSO的权限和修改元文件的权限,需要有RAM相关的全部权限(AliyunRAMFullAccess)

关于角色SSO,在IDaaS配置的“AccessKeyID”和“AccessKeySecret”的用户是否需要有RAM访问控制的权限?

需要,配置的“AccessKeyID”和“AccessKeySecret”的用户得有RAM的权限(AliyunRAMReadOnlyAccess或者AliyunRAMFullAccess),在IDAAS绑定子账户页面才可以读取到身份提供商RAM角色列表

角色SSO,在IDAAS绑定子账户页面能够选择哪些类型的角色?

能够选择的范围只能是上传了应用元文件的身份提供商对应的RAM角色,不能选择阿里云账号RAM角色和阿里云服务RAM角色