應用場景

企業希望僅有高級管理員（例如：運維主管、中心運維人員）可以訪問資源目錄管理賬號，身份權限的管理員可以管理多賬號身份權限，但不需要訪問資源目錄管理賬號。此時，您可以指定資源目錄成員作為云SSO委派管理員賬號，通過該賬號管理云SSO身份權限（云SSO身份權限數據歸屬于資源目錄管理賬號，委派管理員賬號僅有部分操作權限）。

關于委派管理員賬號的基本概念，請參見什么是委派管理員賬號。

使用限制

• 最多允許為云SSO添加1個委派管理員賬號。

• 云SSO委派管理員賬號可以對云SSO進行管理操作，但以下操作除外。

  • 開啟和關閉云SSO。

  • 創建和刪除云SSO目錄。

  • 在資源目錄添加和移除委派管理員賬號。

  • 在云SSO啟用和禁用委派管理員賬號。

  • 為云SSO用戶、用戶組授予資源目錄管理賬號的訪問配置權限。

  • 修改已經部署在資源目錄管理賬號的訪問配置。

  • 配置RAM用戶同步，將云SSO用戶同步到資源目錄管理賬號。

  • 修改目標為資源目錄管理賬號的RAM用戶同步。

  • 刪除、重試目標為資源目錄管理賬號的RAM用戶同步事件。

添加和啟用委派管理員賬號

1. 使用資源目錄的管理賬號，在資源目錄控制臺，指定一個資源目錄成員為云SSO委派管理員賬號。

   1. 使用資源目錄管理賬號登錄資源管理控制臺。

   2. 在左側導航欄，選擇資源目錄 > 可信服務。

   3. 在可信服務頁面，單擊云SSO服務操作列的管理。

      

   4. 在委派管理員賬號區域，單擊添加。
   5. 在添加委派管理員賬號面板，選中成員。

   6. 單擊確定。

2. 使用云SSO管理員，在云SSO控制臺，啟用云SSO委派管理員賬號。

   1. 使用云SSO管理員登錄云SSO控制臺。

   2. 在左側導航欄，單擊設置。

   3. 在全局管理頁簽，單擊目標委派管理員賬號操作列的啟用委派。

      

禁用或移除委派管理員賬號

禁用或移除云SSO委派管理員賬號后，將不能通過該賬號管理云SSO。

禁用委派管理員賬號

如果您想短期暫停云SSO委派管理員對云SSO的管理操作，您可以在云SSO控制臺直接禁用委派管理員賬號。禁用后，您也可以隨時啟用該委派管理員賬號。

1. 使用云SSO管理員登錄云SSO控制臺。

2. 在左側導航欄，單擊設置。

3. 在全局管理頁簽，單擊目標委派管理員賬號操作列的禁用委派。

   

移除委派管理員賬號

如果您想更換委派管理員賬號，您可以在資源目錄控制臺移除已有的委派管理員賬號，重新添加新的委派管理員賬號。

1. 使用資源目錄管理賬號登錄資源管理控制臺。

2. 在左側導航欄，選擇資源目錄 > 可信服務。

3. 在可信服務頁面，單擊云SSO服務操作列的管理。

   

4. 在委派管理員賬號區域，單擊目標賬號操作列的移除。

5. 在移除警告對話框，單擊繼續。

訪問委派管理員賬號

為云SSO添加和啟用委派管理員賬號后，您就可以使用委派管理員賬號管理云SSO。

因為委派管理員賬號本身就是資源目錄的成員，所以您可以按照訪問資源目錄成員的方式訪問委派管理員賬號。具體的訪問方式，請參見成員登錄阿里云控制臺。

以下將通過云SSO訪問委派管理員賬號的方式進行操作，假設您已將資源目錄的成員（CloudSSODA）設置為云SSO的委派管理員，現在您想通過云SSO用戶（Alice）訪問委派管理員（CloudSSODA），然后對委派管理員賬號下的云SSO執行管理操作。操作步驟如下：

1. 云SSO管理員為云SSO用戶（Alice）授予委派管理員賬號（CloudSSODA）下云SSO的管理權限。

   1. 創建訪問配置。

      訪問配置使用系統策略中的AliyunCloudSSOFullAccess。具體操作，請參見創建訪問配置。

   2. 在委派管理員賬號上授權。

      為云SSO用戶（Alice）在委派管理員賬號（CloudSSODA）上部署訪問配置，實現云SSO的用戶可以訪問委派管理員賬號下的云SSO資源。

      具體操作，請參見在RD賬號上授權。

2. 云SSO用戶（Alice）登錄云SSO用戶門戶，通過委派管理員賬號（CloudSSODA）管理云SSO資源。

   具體操作，請參見登錄云SSO用戶門戶并訪問阿里云資源。