前置概念

閱讀本文前，您可能需要了解概念：什么是SSO（單點(diǎn)登錄）？

功能特性

• 統(tǒng)一管理使用阿里云的用戶

  云SSO為您提供一個(gè)原生的身份目錄，您可以將所有需要訪問阿里云的用戶在該目錄中維護(hù)。您既可以手動(dòng)管理用戶與用戶組，也可以借助SCIM協(xié)議從您的企業(yè)身份管理系統(tǒng)同步用戶和用戶組到云SSO身份目錄中。

• 與企業(yè)身份管理系統(tǒng)進(jìn)行統(tǒng)一單點(diǎn)登錄配置

  您雖然可以選擇讓云SSO身份目錄中的用戶使用其用戶名、密碼和多因素認(rèn)證（MFA）的方式訪問阿里云，但更好的方式是與企業(yè)身份管理系統(tǒng)進(jìn)行單點(diǎn)登錄（SSO），以最大限度地優(yōu)化用戶體驗(yàn)，同時(shí)降低安全風(fēng)險(xiǎn)。云SSO支持基于SAML 2.0協(xié)議的企業(yè)級單點(diǎn)登錄，只需要在云SSO和企業(yè)身份管理系統(tǒng)中進(jìn)行一次性地簡單配置，即可完成單點(diǎn)登錄配置。

• 統(tǒng)一配置所有用戶對RD賬號(hào)的訪問權(quán)限

  借助與RD的深度集成，在云SSO中您可以統(tǒng)一配置用戶或用戶組對整個(gè)RD內(nèi)的任意成員賬號(hào)的訪問權(quán)限。云SSO管理員可以根據(jù)RD的組織結(jié)構(gòu)，選擇不同成員賬號(hào)為其分配可訪問的身份（用戶或用戶組）以及具體的訪問權(quán)限，且該權(quán)限可以隨時(shí)修改和刪除。

• 統(tǒng)一的用戶門戶

  云SSO提供統(tǒng)一的用戶門戶，企業(yè)員工只要登錄到用戶門戶，即可一站式獲取其具有權(quán)限的所有RD賬號(hào)列表，然后直接登錄到阿里云控制臺(tái)，并可在多個(gè)賬號(hào)間輕松切換。

• CLI集成

  云SSO已與阿里云CLI進(jìn)行了集成。用戶除了使用瀏覽器登錄云SSO用戶門戶，也可以通過阿里云CLI登錄云SSO。登錄后，選擇對應(yīng)RD賬號(hào)和權(quán)限，通過CLI命令行訪問阿里云資源。

• 服務(wù)免費(fèi)

  云SSO為免費(fèi)產(chǎn)品，開通后即可正常使用，不收取任何費(fèi)用。

產(chǎn)品架構(gòu)

云SSO用戶可以通過RAM角色或RAM用戶訪問RD賬號(hào)的云資源。

兩種訪問方式的適用場景如下表所示。

云SSO與訪問控制（RAM）的關(guān)系

訪問控制（RAM）提供單個(gè)阿里云賬號(hào)內(nèi)的身份和權(quán)限管理。RAM提供身份管理（包括用戶、用戶組和角色）、權(quán)限管理和單點(diǎn)登錄配置，但這些僅局限在一個(gè)阿里云賬號(hào)內(nèi)生效。當(dāng)您的企業(yè)擁有多個(gè)阿里云賬號(hào)時(shí)，您需要在每個(gè)阿里云賬號(hào)中使用RAM單獨(dú)管理身份、單獨(dú)進(jìn)行SSO配置和單獨(dú)配置權(quán)限，這給管理工作帶來極大的挑戰(zhàn)。

云SSO在RD范圍內(nèi)提供多賬號(hào)統(tǒng)一身份管理和權(quán)限管理。您可以在云SSO中進(jìn)行一次性統(tǒng)一配置，即可完成面向多個(gè)阿里云賬號(hào)的身份管理、單點(diǎn)登錄和權(quán)限配置。為了實(shí)現(xiàn)這一目標(biāo)，云SSO提供了獨(dú)立于RAM的身份目錄，但其權(quán)限管理復(fù)用了RAM中的系統(tǒng)策略和自定義策略語法。更多信息，請參見訪問配置概述。此外，云SSO用戶對RD賬號(hào)的訪問，本質(zhì)上是云SSO用戶扮演每個(gè)RD賬號(hào)中的RAM角色進(jìn)行的再一次單點(diǎn)登錄。更多信息，請參見多賬號(hào)授權(quán)概述。

當(dāng)您開始使用云SSO進(jìn)行RD賬號(hào)統(tǒng)一的身份權(quán)限管理時(shí)，您將不再需要使用RAM來對單個(gè)賬號(hào)進(jìn)行管理。但是，在某些情況下，例如：您有已經(jīng)存在的RAM用戶、RAM角色、或您需要使用訪問密鑰對阿里云資源進(jìn)行程序訪問時(shí)，則您仍然可以繼續(xù)在單個(gè)賬號(hào)內(nèi)使用RAM。使用云SSO不會(huì)限制RAM原來的功能，兩個(gè)服務(wù)可以同時(shí)使用。