基本概念

更新时间:

本文为您介绍云SSO的基本概念。

概念

说明

目录

目录是云SSO的实例。使用云SSO必须首先创建一个目录,所有云SSO资源都必须在目录中维护。您需要选择一个地域作为云SSO目录的所在地域。阿里云确保您目录中的所有数据只会被保存在该地域,以避免潜在的安全合规风险。目前,一个阿里云账号只能创建一个目录。

用户

用户是云SSO中的一种身份类型。云SSO提供原生的用户管理功能,您可以将所有访问阿里云的用户统一在此创建和管理。用户可以被授予访问阿里云资源目录(RD)内账号的访问权限。

用户组

用户组是云SSO中的一种身份类型。您可以将用户加入用户组,然后按照用户组进行授权,方便统一权限管理。

多因素认证(MFA)

多因素认证MFA(Multi-Factor Authentication)是一种简单有效的最佳安全实践,在用户名和密码之外再额外增加一层安全保护。当云SSO用户使用用户名和密码登录时,默认开启多因素认证。目前,云SSO支持MFA设备作为多因素认证方式。更多信息,请参见管理MFA

身份同步

云SSO支持基于SCIM协议的用户和用户组同步,称为身份同步,也可以称其为身份部署或身份推送等。使用身份同步,您只需在您的企业身份管理系统中管理身份,而不必在云SSO中手工管理用户、用户组及其成员关系,提升管理效率和安全性。

访问配置

访问配置是用户用来访问阿里云账号的配置模板,其中包含权限配置。您可以使用该模板为用户针对RD账号进行授权。更多信息,请参见访问配置概述

资源目录(RD)

资源目录RD(Resource Directory)是阿里云面向企业客户提供的一套多级资源(账号)关系管理服务。更多信息,请参见资源目录概述

RD账号

RD账号即资源目录账号,包括以下两类:

  • 管理账号:管理账号(Management Account,简称MA)是一个经过企业实名认证的阿里云账号。您可以使用管理账号开通资源目录,开通后,管理账号就是资源目录的超级管理员,对资源目录、资源夹和成员拥有完全控制权限。每个资源目录有且只有一个管理账号。

  • 成员:成员是通过资源目录创建出来的资源账号,该资源账号用于承载您在阿里云上的某个项目或应用。 如果您已经注册了阿里云账号,您也可以通过邀请的方式将该阿里云账号加入到资源目录,即成为云账号类型的成员。

多账号授权

根据RD目录结构,您可以为每个RD账号设置允许访问的用户或用户组,以及他们的访问权限(访问配置)。您可以为RD企业管理账号授权,也可以为任意一个成员账号授权。更多信息,请参见多账号授权概述

访问配置部署

在为用户针对RD账号进行授权时,您指定的访问配置中的配置模板将会被部署到相关RD账号中,成为该RD账号中的RAM角色、RAM策略和RAM角色的单点登录身份提供商。相应的,您也可以解除访问配置在一个RD账号中的部署。如果访问配置已经部署在RD账号中,但访问配置发生了变更,这些变更不会自动更新到对应的RD账号中,需要您手动重新部署才能使变更生效。更多信息,请参见访问配置概述

异步任务

当部署或解除部署访问配置时,云SSO将会发起异步任务执行此操作。包含以下四种场景:

  • 为用户在RD账号上授权。

  • 移除用户在RD账号上的权限。

  • 在RD账号上部署访问配置。

  • 解除访问配置在RD账号上的部署。

您可以在控制台的历史任务页面查看最近7天的异步任务。

用户门户

用户门户是云SSO用户登录和使用阿里云资源的独立门户。云SSO用户登录用户门户后,可以查看自己有权限访问的RD账号,并以某个访问配置设置的权限跳转到阿里云控制台。您可以在云SSO控制台的概览页面,查看本目录的用户门户地址(URL)。更多信息,请参见登录用户门户并访问阿里云资源

云SSO管理员

云SSO管理员是指开通云SSO的管理账号和其下具有管理云SSO权限(AliyunCloudSSOFullAccess)的RAM用户。

单点登录(SSO)

云SSO支持基于SAML 2.0的单点登录SSO(Single Sign On)。阿里云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过单点登录,企业员工可以使用IdP中的用户身份直接登录云SSO。IdP和SP的具体含义如下:

  • 身份提供商IdP(Identity Provider)可以提供身份管理服务。常见的IdP:Microsoft Active Directory Federation Service (AD FS)、Azure AD、Okta以及KeyCloak等。

  • 服务提供商SP(Service Provider)是利用IdP的身份管理功能,为用户提供具体服务的应用。SP会使用IdP提供的用户信息。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。

更多信息,请参见单点登录概述