方案概述

当企业采用多账号的云上架构时，配置各个账号的人员身份和权限策略将变得非常繁琐耗时。此方案基于云SSO的产品能力，提供一种集中化管理企业多账号的身份权限的方式，简化了企业IT管理人员在身份配置上的复杂度，同时降低了因为身份管理不善导致的身份泄露、权限过大的风险。

方案优势

集中管理用户身份

借助SCIM协议从您的企业身份管理系统同步用户和用户组到云SSO身份目录中，降低身份管理的复杂度。

与企业身份管理系统进行SSO配置

与企业身份管理系统进行单点登录（SSO），以最大限度地优化用户体验，同时降低安全风险。

集中配置所有用户对RD账号的访问权限

借助与RD的深度集成，在云SSO中您可以统一配置用户或用户组对整个RD内的任意成员账号的访问权限。根据RD的组织结构，选择不同成员账号为其分配可访问的身份（用户或用户组）以及具体的访问权限，且该权限可以随时修改和删除。

客户场景

实现与企业身份系统集成登录云控制台

场景描述

多账号场景的企业，客户可以将每个账号内的RAM角色与企业IdP进行集成，并要求企业用户使用SSO方式登录阿里云控制台。

适用客户

企业内已有IdP的用户。

多账号下的人员身份统一管理

场景描述

客户拥有一个中心IT或运维团队，需要统一管理云上的多个账号，存在一名员工需要访问多个账号，或多名员工需要访问同一个账号的情况。

适用客户

企业中心IT团队希望实现集中化的身份权限管控。

方案架构

本方案会使用阿里云云SSO产品，会天然集成阿里云资源目录RD（Resource Directory）的多账号统一身份管理与访问控制。