云SSO提供基于阿里云资源目录RD(Resource Directory)的多账号统一身份管理与访问控制。使用云SSO,您可以统一管理企业中使用阿里云的用户,一次性配置企业身份管理系统与阿里云的单点登录,并统一配置所有用户对RD账号的访问权限。
功能特性
- 统一管理使用阿里云的用户
云SSO为您提供一个原生的身份目录,您可以将所有需要访问阿里云的用户在该目录中维护。您既可以手动管理用户与用户组,也可以借助SCIM协议从您的企业身份管理系统同步用户和用户组到云SSO身份目录中。
- 与企业身份管理系统进行统一单点登录配置
您虽然可以选择让云SSO身份目录中的用户使用其用户名、密码和多因素认证(MFA)的方式访问阿里云,但更好的方式是与企业身份管理系统进行单点登录(SSO),以最大限度地优化用户体验,同时降低安全风险。云SSO支持基于SAML 2.0协议的企业级单点登录,只需要在云SSO和企业身份管理系统中进行一次性地简单配置,即可完成单点登录配置。
- 统一配置所有用户对RD账号的访问权限
借助与RD的深度集成,在云SSO中您可以统一配置用户或用户组对整个RD内的任意成员账号的访问权限。云SSO管理员可以根据RD的组织结构,选择不同成员账号为其分配可访问的身份(用户或用户组)以及具体的访问权限,且该权限可以随时修改和删除。
- 统一的用户门户
云SSO提供统一的用户门户,企业员工只要登录到用户门户,即可一站式获取其具有权限的所有RD账号列表,然后直接登录到阿里云控制台,并可在多个账号间轻松切换。
- CLI集成
云SSO已与阿里云CLI进行了集成。用户除了使用浏览器登录云SSO用户门户,也可以通过阿里云CLI登录云SSO。登录后,选择对应RD账号和权限,通过CLI命令行访问阿里云资源。
- 服务免费
云SSO为免费产品,开通后即可正常使用,不收取任何费用。
云SSO与访问控制(RAM)的关系
访问控制(RAM)提供单个阿里云账号内的身份和权限管理。RAM提供身份管理(包括用户、用户组和角色)、权限管理和单点登录配置,但这些仅局限在一个阿里云账号内生效。当您的企业拥有多个阿里云账号时,您需要在每个阿里云账号中使用RAM单独管理身份、单独进行SSO配置和单独配置权限,这给管理工作带来极大的挑战。
云SSO在RD范围内提供多账号统一身份管理和权限管理。您可以在云SSO中进行一次性统一配置,即可完成面向多个阿里云账号的身份管理、单点登录和权限配置。为了实现这一目标,云SSO提供了独立于RAM的身份目录,但其权限管理复用了RAM中的系统策略和自定义策略语法。更多信息,请参见访问配置概述。此外,云SSO用户对RD账号的访问,本质上是云SSO用户扮演每个RD账号中的RAM角色进行的再一次单点登录。更多信息,请参见多账号授权概述。
当您开始使用云SSO进行RD账号统一的身份权限管理时,您将不再需要使用RAM来对单个账号进行管理。但是,在某些情况下,例如:您有已经存在的RAM用户、RAM角色、或您需要使用访问密钥对阿里云资源进行程序访问时,则您仍然可以继续在单个账号内使用RAM。使用云SSO不会限制RAM原来的功能,两个服务可以同时使用。