文档

开始使用云SSO

更新时间:
一键部署

本文为您介绍使用云SSO的前提条件、流程和配置示例,方便您快速上手和使用。

前提条件

  • 请确保您已开通了资源目录,并搭建了企业的多账号组织结构。

    更多信息,请参见资源目录概述

  • 只能使用资源目录的管理账号或管理账号下具有权限的RAM用户才能开通云SSO。具体如下:

    • 管理账号

      管理账号是资源目录的超级管理员,也是开通资源目录的初始账号,对其创建的资源目录和成员拥有完全控制权限。只有经过企业实名认证的阿里云账号才能开通资源目录,每个资源目录有且只有一个管理账号。

    • RAM用户

      您需要为管理账号中的RAM用户授予系统策略AliyunCloudSSOFullAccess。具体操作,请参见为RAM用户授权

使用流程

  1. 开通云SSO并创建目录。

    具体操作,请参见开通云SSO创建目录

  2. 管理用户和用户组。

    提供以下两种方式,您可以任选其一:

    • 同步企业本地身份管理系统,即企业IdP(Identity Provider)中的用户或用户组(推荐)。

      1. 在云SSO启用SCIM同步并创建SCIM同步密钥。

        具体操作,请参见启用SCIM同步创建SCIM密钥

      2. 在企业IdP配置用户和用户组同步。

        更多信息,请参见配置示例

        说明

        企业IdP必须支持SCIM协议,才能完成同步。

    • 在云SSO创建用户或用户组。

      具体操作,请参见创建用户创建用户组为用户组添加用户

  3. 设置用户登录方式。

    提供以下两种方式,您可以任选其一。启用一种登录方式,则另一种会自动禁用。

  4. 创建访问配置。

    访问配置是用户用来访问阿里云账号的配置模板,包含访问权限、会话持续时间和初始访问页面等信息。更多信息,请参见访问配置概述创建访问配置

  5. 授权用户或用户组对资源目录(RD)账号进行访问。

    根据RD目录结构,您可以在每个RD账号上设置允许访问的用户或用户组,以及访问权限(访问配置)。该操作既适用于RD企业管理账号,也适用于RD成员账号。具体操作,请参见在RD账号上授权

  6. 用户访问阿里云。

    1. 根据配置的登录方式,使用用户名和密码或SSO登录,进入云SSO用户门户。

    2. 根据权限配置,用户可以查看自己有权访问的所有RD账号列表。

    3. 登录目标RD账号,根据权限配置,访问有权限的阿里云资源。

    具体操作,请参见登录用户门户并访问阿里云资源

配置示例

企业IdP

SCIM同步示例

SSO登录示例

Azure AD

通过SCIM同步Azure AD用户或用户组的示例

Azure AD与云SSO进行单点登录的示例

Okta

通过SCIM同步Okta用户或用户组的示例

Okta与云SSO进行单点登录的示例

AD FS

AD FS与云SSO进行单点登录的示例

Shibboleth

Shibboleth与云SSO进行单点登录的示例