什么是云SSO
云SSO提供基于阿里云资源目录RD(Resource Directory)的多账号统一身份管理与访问控制。使用云SSO,您可以统一管理企业中使用阿里云的用户,一次性配置企业身份管理系统与阿里云的单点登录,并统一配置所有用户对RD账号的访问权限。
前置概念
阅读本文前,您可能需要了解概念:什么是SSO(单点登录)?
功能特性
统一管理使用阿里云的用户
云SSO为您提供一个原生的身份目录,您可以将所有需要访问阿里云的用户在该目录中维护。您既可以手动管理用户与用户组,也可以借助SCIM协议从您的企业身份管理系统同步用户和用户组到云SSO身份目录中。
与企业身份管理系统进行统一单点登录配置
您虽然可以选择让云SSO身份目录中的用户使用其用户名、密码和多因素认证(MFA)的方式访问阿里云,但更好的方式是与企业身份管理系统进行单点登录(SSO),以最大限度地优化用户体验,同时降低安全风险。云SSO支持基于SAML 2.0协议的企业级单点登录,只需要在云SSO和企业身份管理系统中进行一次性地简单配置,即可完成单点登录配置。
统一配置所有用户对RD账号的访问权限
借助与RD的深度集成,在云SSO中您可以统一配置用户或用户组对整个RD内的任意成员账号的访问权限。云SSO管理员可以根据RD的组织结构,选择不同成员账号为其分配可访问的身份(用户或用户组)以及具体的访问权限,且该权限可以随时修改和删除。
统一的用户门户
云SSO提供统一的用户门户,企业员工只要登录到用户门户,即可一站式获取其具有权限的所有RD账号列表,然后直接登录到阿里云控制台,并可在多个账号间轻松切换。
CLI集成
云SSO已与阿里云CLI进行了集成。用户除了使用浏览器登录云SSO用户门户,也可以通过阿里云CLI登录云SSO。登录后,选择对应RD账号和权限,通过CLI命令行访问阿里云资源。
服务免费
云SSO为免费产品,开通后即可正常使用,不收取任何费用。
产品架构
云SSO用户可以通过RAM角色或RAM用户访问RD账号的云资源。
两种访问方式的适用场景如下表所示。
访问方式 | 描述 | 适用场景 | 相关文档 |
以RAM角色登录 | 企业在云SSO集中管理访问阿里云的用户,通过访问配置和多账号授权,实现用户通过单点登录的方式登录到RD账号内的RAM角色,然后访问该RD账号中的云资源。 | 适用支持RAM角色的云服务。 | |
以RAM用户登录 | 企业在云SSO集中管理访问阿里云的用户,通过RAM用户同步,实现用户登录到RD账号内的RAM用户,然后访问该RD账号中的云资源。 | 适用不支持RAM角色的云服务。 |
同一个云SSO用户如果通过访问配置在RD账号上配置了授权,同时又配置了RAM用户同步,则该云SSO用户可以通过RAM角色和RAM用户两种方式访问RD账号的云资源。
云SSO与访问控制(RAM)的关系
访问控制(RAM)提供单个阿里云账号内的身份和权限管理。RAM提供身份管理(包括用户、用户组和角色)、权限管理和单点登录配置,但这些仅局限在一个阿里云账号内生效。当您的企业拥有多个阿里云账号时,您需要在每个阿里云账号中使用RAM单独管理身份、单独进行SSO配置和单独配置权限,这给管理工作带来极大的挑战。
云SSO在RD范围内提供多账号统一身份管理和权限管理。您可以在云SSO中进行一次性统一配置,即可完成面向多个阿里云账号的身份管理、单点登录和权限配置。为了实现这一目标,云SSO提供了独立于RAM的身份目录,但其权限管理复用了RAM中的系统策略和自定义策略语法。更多信息,请参见访问配置概述。此外,云SSO用户对RD账号的访问,本质上是云SSO用户扮演每个RD账号中的RAM角色进行的再一次单点登录。更多信息,请参见多账号授权概述。
当您开始使用云SSO进行RD账号统一的身份权限管理时,您将不再需要使用RAM来对单个账号进行管理。但是,在某些情况下,例如:您有已经存在的RAM用户、RAM角色、或您需要使用访问密钥对阿里云资源进行程序访问时,则您仍然可以继续在单个账号内使用RAM。使用云SSO不会限制RAM原来的功能,两个服务可以同时使用。