开始使用云SSO

前提条件

• 请确保您已开通了资源目录，并搭建了企业的多账号组织结构。

  更多信息，请参见什么是资源目录。

• 只能使用资源目录的管理账号或管理账号下具有权限的RAM用户才能开通云SSO。具体如下：

  • 管理账号

    管理账号是资源目录的超级管理员，也是开通资源目录的初始账号，对其创建的资源目录和成员拥有完全控制权限。只有经过企业实名认证的阿里云账号才能开通资源目录，每个资源目录有且只有一个管理账号。

  • RAM用户

    您需要为管理账号中的RAM用户授予系统策略AliyunCloudSSOFullAccess。具体操作，请参见为RAM用户授权。

使用流程

1. 开通云SSO并创建目录。

   具体操作，请参见开通云SSO和创建目录。

2. 管理用户和用户组。

   提供以下两种方式，您可以任选其一：

   • 同步企业本地身份管理系统，即企业IdP（Identity Provider）中的用户或用户组（推荐）。

     1. 在云SSO启用SCIM同步并创建SCIM同步密钥。

        具体操作，请参见启用SCIM同步和创建SCIM密钥。

     2. 在企业IdP配置用户和用户组同步。

        更多信息，请参见配置示例。

        说明

        企业IdP必须支持SCIM协议，才能完成同步。

   • 在云SSO创建用户或用户组。

     具体操作，请参见创建用户、创建用户组和为用户组添加用户。

3. 设置用户登录方式。

   提供以下两种方式，您可以任选其一。启用一种登录方式，则另一种会自动禁用。

   • 单点登录（SSO登录）。

     更多信息，请参见启用单点登录和配置示例。

   • 用户名和密码登录。

     具体操作，请参见启用用户名密码登录。

4. 创建访问配置。

   访问配置是用户用来访问阿里云账号的配置模板，包含访问权限、会话持续时间和初始访问页面等信息。更多信息，请参见访问配置概述和创建访问配置。

5. 授权用户或用户组对资源目录（RD）账号进行访问。

   根据RD目录结构，您可以在每个RD账号上设置允许访问的用户或用户组，以及访问权限（访问配置）。该操作既适用于RD企业管理账号，也适用于RD成员账号。具体操作，请参见在RD账号上授权。

6. 用户访问阿里云。

   1. 根据配置的登录方式，使用用户名和密码或SSO登录，进入云SSO用户门户。

   2. 根据权限配置，用户可以查看自己有权访问的所有RD账号列表。

   3. 登录目标RD账号，根据权限配置，访问有权限的阿里云资源。

   具体操作，请参见登录云SSO用户门户并访问阿里云资源。

配置示例