日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關(guān)鍵字查找
首頁 云SSO 產(chǎn)品概述 產(chǎn)品簡介 基本概念

基本概念

更新時間:
我的收藏

本文為您介紹云SSO的基本概念。

概念

說明

目錄

目錄是云SSO的實例。使用云SSO必須首先創(chuàng)建一個目錄,所有云SSO資源都必須在目錄中維護(hù)。您需要選擇一個地域作為云SSO目錄的所在地域。阿里云確保您目錄中的所有數(shù)據(jù)只會被保存在該地域,以避免潛在的安全合規(guī)風(fēng)險。目前,一個阿里云賬號只能創(chuàng)建一個目錄。

用戶

用戶是云SSO中的一種身份類型。云SSO提供原生的用戶管理功能,您可以將所有訪問阿里云的用戶統(tǒng)一在此創(chuàng)建和管理。用戶可以被授予訪問阿里云資源目錄(RD)內(nèi)賬號的訪問權(quán)限。

用戶組

用戶組是云SSO中的一種身份類型。您可以將用戶加入用戶組,然后按照用戶組進(jìn)行授權(quán),方便統(tǒng)一權(quán)限管理。

多因素認(rèn)證(MFA)

多因素認(rèn)證MFA(Multi-Factor Authentication)是一種簡單有效的最佳安全實踐,在用戶名和密碼之外再額外增加一層安全保護(hù)。當(dāng)云SSO用戶使用用戶名和密碼登錄時,默認(rèn)開啟多因素認(rèn)證。目前,云SSO支持MFA設(shè)備作為多因素認(rèn)證方式。更多信息,請參見管理MFA。

身份同步

云SSO支持基于SCIM協(xié)議的用戶和用戶組同步,稱為身份同步,也可以稱其為身份部署或身份推送等。使用身份同步,您只需在您的企業(yè)身份管理系統(tǒng)中管理身份,而不必在云SSO中手工管理用戶、用戶組及其成員關(guān)系,提升管理效率和安全性。

訪問配置

訪問配置是用戶用來訪問阿里云賬號的配置模板,其中包含權(quán)限配置。您可以使用該模板為用戶針對RD賬號進(jìn)行授權(quán)。更多信息,請參見訪問配置概述。

資源目錄(RD)

資源目錄RD(Resource Directory)是阿里云面向企業(yè)客戶提供的一套多級資源(賬號)關(guān)系管理服務(wù)。更多信息,請參見資源目錄概述

RD賬號

RD賬號即資源目錄賬號,包括以下兩類:

  • 管理賬號:管理賬號(Management Account,簡稱MA)是一個經(jīng)過企業(yè)實名認(rèn)證的阿里云賬號。您可以使用管理賬號開通資源目錄,開通后,管理賬號就是資源目錄的超級管理員,對資源目錄、資源夾和成員擁有完全控制權(quán)限。每個資源目錄有且只有一個管理賬號。

  • 成員:成員是通過資源目錄創(chuàng)建出來的資源賬號,該資源賬號用于承載您在阿里云上的某個項目或應(yīng)用。 如果您已經(jīng)注冊了阿里云賬號,您也可以通過邀請的方式將該阿里云賬號加入到資源目錄,即成為云賬號類型的成員。

多賬號授權(quán)

根據(jù)RD目錄結(jié)構(gòu),您可以為每個RD賬號設(shè)置允許訪問的用戶或用戶組,以及他們的訪問權(quán)限(訪問配置)。您可以為RD企業(yè)管理賬號授權(quán),也可以為任意一個成員賬號授權(quán)。更多信息,請參見多賬號授權(quán)概述。

訪問配置部署

在為用戶針對RD賬號進(jìn)行授權(quán)時,您指定的訪問配置中的配置模板將會被部署到相關(guān)RD賬號中,成為該RD賬號中的RAM角色、RAM策略和RAM角色的單點登錄身份提供商。相應(yīng)的,您也可以解除訪問配置在一個RD賬號中的部署。如果訪問配置已經(jīng)部署在RD賬號中,但訪問配置發(fā)生了變更,這些變更不會自動更新到對應(yīng)的RD賬號中,需要您手動重新部署才能使變更生效。更多信息,請參見訪問配置概述

異步任務(wù)

當(dāng)部署或解除部署訪問配置時,云SSO將會發(fā)起異步任務(wù)執(zhí)行此操作。包含以下四種場景:

  • 為用戶在RD賬號上授權(quán)。

  • 移除用戶在RD賬號上的權(quán)限。

  • 在RD賬號上部署訪問配置。

  • 解除訪問配置在RD賬號上的部署。

您可以在控制臺的歷史任務(wù)頁面查看最近7天的異步任務(wù)。

用戶門戶

用戶門戶是云SSO用戶登錄和使用阿里云資源的獨立門戶。云SSO用戶登錄用戶門戶后,可以查看自己有權(quán)限訪問的RD賬號,并以某個訪問配置設(shè)置的權(quán)限跳轉(zhuǎn)到阿里云控制臺。您可以在云SSO控制臺的概覽頁面,查看本目錄的用戶門戶地址(URL)。更多信息,請參見登錄用戶門戶并訪問阿里云資源。

云SSO管理員

云SSO管理員是指開通云SSO的管理賬號和其下具有管理云SSO權(quán)限(AliyunCloudSSOFullAccess)的RAM用戶。

單點登錄(SSO)

云SSO支持基于SAML 2.0的單點登錄SSO(Single Sign On)。阿里云是服務(wù)提供商(SP),而企業(yè)自有的身份管理系統(tǒng)則是身份提供商(IdP)。通過單點登錄,企業(yè)員工可以使用IdP中的用戶身份直接登錄云SSO。IdP和SP的具體含義如下:

  • 身份提供商IdP(Identity Provider)可以提供身份管理服務(wù)。常見的IdP:Microsoft Active Directory Federation Service (AD FS)、Azure AD、Okta以及KeyCloak等。

  • 服務(wù)提供商SP(Service Provider)是利用IdP的身份管理功能,為用戶提供具體服務(wù)的應(yīng)用。SP會使用IdP提供的用戶信息。一些非SAML協(xié)議的身份系統(tǒng)(例如:OpenID Connect),也把服務(wù)提供商稱作IdP的信賴方。

更多信息,請參見單點登錄概述。