什么是云SSO

更新时间:

云SSO提供基于阿里云资源目录RD(Resource Directory)的多账号统一身份管理与访问控制。使用云SSO,您可以统一管理企业中使用阿里云的用户,一次性配置企业身份管理系统与阿里云的单点登录,并统一配置所有用户对RD账号的访问权限。

前置概念

阅读本文前,您可能需要了解概念:什么是SSO(单点登录)?

功能特性

  • 统一管理使用阿里云的用户

    云SSO为您提供一个原生的身份目录,您可以将所有需要访问阿里云的用户在该目录中维护。您既可以手动管理用户与用户组,也可以借助SCIM协议从您的企业身份管理系统同步用户和用户组到云SSO身份目录中。

  • 与企业身份管理系统进行统一单点登录配置

    您虽然可以选择让云SSO身份目录中的用户使用其用户名、密码和多因素认证(MFA)的方式访问阿里云,但更好的方式是与企业身份管理系统进行单点登录(SSO),以最大限度地优化用户体验,同时降低安全风险。云SSO支持基于SAML 2.0协议的企业级单点登录,只需要在云SSO和企业身份管理系统中进行一次性地简单配置,即可完成单点登录配置。

  • 统一配置所有用户对RD账号的访问权限

    借助与RD的深度集成,在云SSO中您可以统一配置用户或用户组对整个RD内的任意成员账号的访问权限。云SSO管理员可以根据RD的组织结构,选择不同成员账号为其分配可访问的身份(用户或用户组)以及具体的访问权限,且该权限可以随时修改和删除。

  • 统一的用户门户

    云SSO提供统一的用户门户,企业员工只要登录到用户门户,即可一站式获取其具有权限的所有RD账号列表,然后直接登录到阿里云控制台,并可在多个账号间轻松切换。

  • CLI集成

    云SSO已与阿里云CLI进行了集成。用户除了使用浏览器登录云SSO用户门户,也可以通过阿里云CLI登录云SSO。登录后,选择对应RD账号和权限,通过CLI命令行访问阿里云资源。

  • 服务免费

    云SSO为免费产品,开通后即可正常使用,不收取任何费用。

产品架构

云SSO用户可以通过RAM角色RAM用户访问RD账号的云资源。

产品架构

两种访问方式的适用场景如下表所示。

访问方式

描述

适用场景

相关文档

以RAM角色登录

企业在云SSO集中管理访问阿里云的用户,通过访问配置和多账号授权,实现用户通过单点登录的方式登录到RD账号内的RAM角色,然后访问该RD账号中的云资源。

适用支持RAM角色的云服务。

以RAM用户登录

企业在云SSO集中管理访问阿里云的用户,通过RAM用户同步,实现用户登录到RD账号内的RAM用户,然后访问该RD账号中的云资源。

适用不支持RAM角色的云服务。

配置RAM用户同步

说明

同一个云SSO用户如果通过访问配置在RD账号上配置了授权,同时又配置了RAM用户同步,则该云SSO用户可以通过RAM角色和RAM用户两种方式访问RD账号的云资源。

云SSO与访问控制(RAM)的关系

访问控制(RAM)提供单个阿里云账号内的身份和权限管理。RAM提供身份管理(包括用户、用户组和角色)、权限管理和单点登录配置,但这些仅局限在一个阿里云账号内生效。当您的企业拥有多个阿里云账号时,您需要在每个阿里云账号中使用RAM单独管理身份、单独进行SSO配置和单独配置权限,这给管理工作带来极大的挑战。

云SSO在RD范围内提供多账号统一身份管理和权限管理。您可以在云SSO中进行一次性统一配置,即可完成面向多个阿里云账号的身份管理、单点登录和权限配置。为了实现这一目标,云SSO提供了独立于RAM的身份目录,但其权限管理复用了RAM中的系统策略和自定义策略语法。更多信息,请参见访问配置概述。此外,云SSO用户对RD账号的访问,本质上是云SSO用户扮演每个RD账号中的RAM角色进行的再一次单点登录。更多信息,请参见多账号授权概述

当您开始使用云SSO进行RD账号统一的身份权限管理时,您将不再需要使用RAM来对单个账号进行管理。但是,在某些情况下,例如:您有已经存在的RAM用户、RAM角色、或您需要使用访问密钥对阿里云资源进行程序访问时,则您仍然可以继续在单个账号内使用RAM。使用云SSO不会限制RAM原来的功能,两个服务可以同时使用。