管理云SSO委派管理员账号

应用场景

企业希望仅有高级管理员（例如：运维主管、中心运维人员）可以访问资源目录管理账号，身份权限的管理员可以管理多账号身份权限，但不需要访问资源目录管理账号。此时，您可以指定资源目录成员作为云SSO委派管理员账号，通过该账号管理云SSO身份权限（云SSO身份权限数据归属于资源目录管理账号，委派管理员账号仅有部分操作权限）。

关于委派管理员账号的基本概念，请参见什么是委派管理员账号。

使用限制

• 最多允许为云SSO添加1个委派管理员账号。

• 云SSO委派管理员账号可以对云SSO进行管理操作，但以下操作除外。

  • 开启和关闭云SSO。

  • 创建和删除云SSO目录。

  • 在资源目录添加和移除委派管理员账号。

  • 在云SSO启用和禁用委派管理员账号。

  • 为云SSO用户、用户组授予资源目录管理账号的访问配置权限。

  • 修改已经部署在资源目录管理账号的访问配置。

  • 配置RAM用户同步，将云SSO用户同步到资源目录管理账号。

  • 修改目标为资源目录管理账号的RAM用户同步。

  • 删除、重试目标为资源目录管理账号的RAM用户同步事件。

添加和启用委派管理员账号

1. 使用资源目录的管理账号，在资源目录控制台，指定一个资源目录成员为云SSO委派管理员账号。

   1. 使用资源目录管理账号登录资源管理控制台。

   2. 在左侧导航栏，选择资源目录 > 可信服务。

   3. 在可信服务页面，单击云SSO服务操作列的管理。

      

   4. 在委派管理员账号区域，单击添加。
   5. 在添加委派管理员账号面板，选中成员。

   6. 单击确定。

2. 使用云SSO管理员，在云SSO控制台，启用云SSO委派管理员账号。

   1. 使用云SSO管理员登录云SSO控制台。

   2. 在左侧导航栏，单击设置。

   3. 在全局管理页签，单击目标委派管理员账号操作列的启用委派。

      

禁用或移除委派管理员账号

禁用或移除云SSO委派管理员账号后，将不能通过该账号管理云SSO。

禁用委派管理员账号

如果您想短期暂停云SSO委派管理员对云SSO的管理操作，您可以在云SSO控制台直接禁用委派管理员账号。禁用后，您也可以随时启用该委派管理员账号。

1. 使用云SSO管理员登录云SSO控制台。

2. 在左侧导航栏，单击设置。

3. 在全局管理页签，单击目标委派管理员账号操作列的禁用委派。

   

移除委派管理员账号

如果您想更换委派管理员账号，您可以在资源目录控制台移除已有的委派管理员账号，重新添加新的委派管理员账号。

1. 使用资源目录管理账号登录资源管理控制台。

2. 在左侧导航栏，选择资源目录 > 可信服务。

3. 在可信服务页面，单击云SSO服务操作列的管理。

   

4. 在委派管理员账号区域，单击目标账号操作列的移除。

5. 在移除警告对话框，单击继续。

访问委派管理员账号

为云SSO添加和启用委派管理员账号后，您就可以使用委派管理员账号管理云SSO。

因为委派管理员账号本身就是资源目录的成员，所以您可以按照访问资源目录成员的方式访问委派管理员账号。具体的访问方式，请参见成员登录阿里云控制台。

以下将通过云SSO访问委派管理员账号的方式进行操作，假设您已将资源目录的成员（CloudSSODA）设置为云SSO的委派管理员，现在您想通过云SSO用户（Alice）访问委派管理员（CloudSSODA），然后对委派管理员账号下的云SSO执行管理操作。操作步骤如下：

1. 云SSO管理员为云SSO用户（Alice）授予委派管理员账号（CloudSSODA）下云SSO的管理权限。

   1. 创建访问配置。

      访问配置使用系统策略中的AliyunCloudSSOFullAccess。具体操作，请参见创建访问配置。

   2. 在委派管理员账号上授权。

      为云SSO用户（Alice）在委派管理员账号（CloudSSODA）上部署访问配置，实现云SSO的用户可以访问委派管理员账号下的云SSO资源。

      具体操作，请参见在RD账号上授权。

2. 云SSO用户（Alice）登录云SSO用户门户，通过委派管理员账号（CloudSSODA）管理云SSO资源。

   具体操作，请参见登录云SSO用户门户并访问阿里云资源。