本文主要介绍如何在阿里云上使用企业本地账号进行统一的身份认证,实现使用企业本地账号登录阿里云才能访问相应资源。

前提条件

请确保您已经注册了阿里云账号,如还未注册,请先完成账号注册

背景信息

企业 A 有两个部门上云,每个部门各自独立创建了云账号 A1 和云账号 A2。企业 A 有自己的本地域账号系统(假设使用的是:Microsoft AD 和 AD FS 服务)。

企业 A 有如下要求:
  • 所有云上操作都必须使用企业内部域账号系统进行统一的身份认证,禁止任何企业成员使用独立用户账号和密码直接操作云资源。
  • 企业 A 希望云上用户与企业本地账号进行系统集成,所有员工必须使用企业本地账号登录后才能访问被授权的云资源。

解决方案

进行操作前需先了解本次操作涉及到的相关概念:

资源云账号(Workload Account)
资源云账号下可以购买 ECS 实例、OSS 实例和RDS 实例等云资源。
身份云账号(Identity Account)
身份云账号下只能创建 RAM 用户。
服务提供商(Service Provider)
利用身份提供商(IdP)的身份管理功能,为用户提供具体服务的应用,服务提供商(SP)会使用 IdP 提供的用户信息。

如果企业的两个云账号都属于资源云账号,创建一个独立的身份云账号,将身份云账号作为 SP 与企业本地 IdP 进行 SSO,利用阿里云 RAM 提供的跨云账号的资源授权能力,进行跨账号访问其他云账号资源。



  1. 注册一个新的云账号 A0 作为身份云账号。
    说明 云账号A0 主要用于解决同步用户及配置 SSO 单点登录,用以区别于资源云账号。
  2. 使用云账号 A0 登录 RAM 控制台
  3. 在企业本地 AD FS 服务中配置云账号 A0 为服务提供商。
  4. 同步本地用户到云账号 A0:将需要访问云资源的本地部门用户同步到 RAM。
  5. 在资源云账号 A1 中创建跨账号的 RAM 角色 role1,为 RAM 角色 role1 授予合适的资源访问权限,并设置云账号 A0 为受信云账号。
  6. 在资源云账号 A2 中创建跨账号的 RAM 角色 role2,为 RAM 角色 role1 授予合适的资源访问权限,并设置云账号 A0 为受信云账号。
  7. 云账号 A0 授权 RAM 用户 Alice 拥有扮演云账号 A1 或云账号 A2 中对应角色。