本文为您介绍云SSO的基本概念。

概念 说明
目录 目录是云SSO的实例。使用云SSO必须首先创建一个目录,所有云SSO资源都必须在目录中维护。您需要选择一个地域作为云SSO目录的所在地域。阿里云确保您目录中的所有数据只会被保存在该地域,以避免潜在的安全合规风险。目前,一个阿里云账号只能创建一个目录。
用户 用户是云SSO中的一种身份类型。云SSO提供原生的用户管理功能,您可以将所有访问阿里云的用户统一在此创建和管理。用户可以被授予访问阿里云资源目录(RD)内账号的访问权限。
用户组 用户组是云SSO中的一种身份类型。您可以将用户加入用户组,然后按照用户组进行授权,方便统一权限管理。
多因素认证(MFA) 多因素认证MFA(Multi-Factor Authentication)是一种简单有效的最佳安全实践,在用户名和密码之外再额外增加一层安全保护。当云SSO用户使用用户名和密码登录时,默认开启多因素认证。目前,云SSO支持MFA设备作为多因素认证方式。更多信息,请参见管理MFA
身份同步 云SSO服务支持基于SCIM协议的用户和用户组同步,称为身份同步,也可以称其为身份部署或身份推送等。使用身份同步,您只需在您的企业身份管理系统中管理身份,而不必在云SSO中手工管理用户、用户组及其成员关系,提升管理效率和安全性。
访问配置 访问配置是用户用来访问阿里云账号的配置模板,其中包含权限配置。您可以使用该模板为用户针对RD账号进行授权。更多信息,请参见访问配置概述
资源目录(RD) 资源目录RD(Resource Directory)是阿里云面向企业客户提供的一套多级资源(账号)关系管理服务。更多信息,请参见资源目录概述
RD账号 RD账号即资源目录账号。包括以下两类账号:
  • 企业管理账号:企业管理账号是资源目录的超级管理员,也是开通资源目录的初始账号,对其创建的资源目录和成员账号拥有完全控制权限。只有通过企业实名认证的阿里云账号才能开通资源目录,每个资源目录有且只有一个企业管理账号。
  • 成员账号:在资源目录内,成员账号作为资源容器,是一种资源分组单位。成员账号通常用于指代一个项目或应用,每个成员账号中的资源相对其他成员账号中的资源是物理隔离的。
多账号授权 根据RD目录结构,您可以为每个RD账号设置允许访问的用户或用户组,以及他们的访问权限(访问配置)。您可以为RD企业管理账号授权,也可以为任意一个成员账号授权。更多信息,请参见多账号授权概述
访问配置部署 在为用户针对RD账号进行授权时,您指定的访问配置中的配置模板将会被部署到相关RD账号中,成为该RD账号中的RAM角色、RAM策略和RAM角色的单点登录身份提供商。相应的,您也可以解除访问配置在一个RD账号中的部署。如果访问配置已经部署在RD账号中,但访问配置发生了变更,这些变更不会自动更新到对应的RD账号中,需要您手动重新部署才能使变更生效。更多信息,请参见访问配置概述
异步任务 当部署或解除部署访问配置时,云SSO将会发起异步任务执行此操作。包含以下四种场景:
  • 为用户在RD账号上授权。
  • 移除用户在RD账号上的权限。
  • 在RD账号上部署访问配置。
  • 解除访问配置在RD账号上的部署。
您可以在控制台的历史任务页面查看最近7天的异步任务。
用户门户 用户门户是云SSO用户登录和使用阿里云资源的独立门户。云SSO用户登录用户门户后,可以查看自己有权限访问的RD账号,并以某个访问配置设置的权限跳转到阿里云控制台。您可以在云SSO控制台的概览页面,查看本目录的用户门户地址(URL)。更多信息,请参见登录用户门户
云SSO管理员 云SSO管理员是指开通云SSO的企业管理账号和其下具有管理云SSO权限的RAM用户。
单点登录(SSO)

云SSO支持基于SAML 2.0的单点登录SSO(Single Sign On)。阿里云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过单点登录,企业员工可以使用IdP中的用户身份直接登录云SSO。IdP和SP的具体含义如下:

  • 身份提供商IdP(Identity Provider)可以提供身份管理服务。常见的IdP:Microsoft Active Directory Federation Service (AD FS)、Azure AD、Okta以及KeyCloak等。
  • 服务提供商SP(Service Provider)是利用IdP的身份管理功能,为用户提供具体服务的应用。SP会使用IdP提供的用户信息。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。

更多信息,请参见单点登录概述