多賬號授權概述
在云SSO中,您可以根據資源目錄(RD)的目錄結構,為每個RD賬號設置允許訪問的用戶或用戶組,以及對應的訪問權限(訪問配置)。您可以為RD企業管理賬號授權,也可以為任意一個成員賬號授權。
多賬號授權方式
云SSO管理員可以使用以下幾種方式來進行多賬號授權:
在單個RD賬號上授權
在云SSO控制臺的多賬號權限管理頁面,您可以進入某個RD賬號的詳情頁面,使用配置權限功能,選擇計劃訪問該RD賬號的云SSO身份(用戶或用戶組)和訪問配置,完成授權。
您也可以查看該RD賬號上的已有授權,并根據頁面提示修改某個云SSO身份的權限,或者移除已有的授權。
在多個RD賬號上批量授權
如果您想對多個RD賬號、多個云SSO身份和多個訪問配置進行一次性批量授權,您可以進入云SSO控制臺的多賬號權限管理頁面,瀏覽RD賬號目錄樹并進行以下操作:
在RD目錄樹中選擇一個或多個RD賬號,作為授權目標。
選擇一個或多個云SSO身份。
選擇一個或多個訪問配置。
單擊開始配置,云SSO服務將為您批量完成授權。
在批量授權中,對于部分已經存在的批量授權,如果對其進行重復授權,會操作失敗。但同一批中的新增授權會操作成功。
多賬號授權說明
在每一次添加或移除權限的過程中,云SSO將會針對每個三元組(身份-RD賬號-訪問配置),啟動一個異步任務,并完成以下操作:
添加權限時,如果訪問配置還未被部署到RD賬號,將會完成部署操作。更多信息,請參見在RD賬號上授權。
移除權限時,如果移除的是該RD賬號上使用該訪問配置的最后一個授權,您可以選擇同時解除訪問配置部署。
完成部署或解除部署后,云SSO將會設置用戶或用戶組對RD賬號的訪問權限。
您可以在授權頁面等待一會,查看授權結果。您也可以在歷史任務頁面查看每個任務的完成情況。
使用授權
云SSO管理員完成授權后,當云SSO用戶登錄用戶門戶時,可以查看自己有權限訪問的RD賬號列表,以及在每個RD賬號中可以使用的訪問配置,然后以該訪問配置對應的權限訪問RD賬號的資源。具體操作,請參見登錄用戶門戶并訪問阿里云資源。