阿里云目前支持兩種SSO方式:角色SSO和用戶SSO。本文為您介紹這兩種方式的適用場景和選擇依據(jù),幫助您根據(jù)整體業(yè)務需求選擇合適的SSO方式。
角色SSO
角色SSO適用于以下場景:
- 出于管理成本考慮,您不希望在云端創(chuàng)建和管理用戶,從而避免用戶同步帶來的工作量。
- 您希望在使用SSO的同時,仍然保留一部分云上本地用戶,可以在阿里云直接登錄。云上本地用戶的用途可以是新功能測試、網(wǎng)絡或企業(yè)IdP出現(xiàn)問題時的備用登錄方式等。
- 您希望根據(jù)用戶在本地IdP中加入的組或者用戶的某個特殊屬性,來區(qū)分云上擁有的權限。當進行權限調整時,只需要在本地進行分組或屬性的更改。
- 您擁有多個阿里云賬號但使用統(tǒng)一的企業(yè)IdP,希望在企業(yè)IdP配置一次,就可以實現(xiàn)到多個阿里云賬號的SSO。
- 您的各個分支機構存在多個IdP,都需要訪問同一個阿里云賬號,您需要在一個阿里云賬號內配置多個IdP進行SSO。
- 除了控制臺,您也希望使用程序訪問的方式來進行SSO。
用戶SSO
用戶SSO適用于以下場景:
- 您希望從阿里云的登錄頁面開始發(fā)起登錄,而非直接訪問您IdP的登錄頁面。
- 您需要使用的云產品中有部分暫時不支持角色訪問。支持角色訪問(即通過STS訪問)的云產品請參見支持STS的云服務。
- 您的IdP不支持復雜的自定義屬性配置。
- 您沒有上述需要使用角色SSO的業(yè)務需求,而又希望盡量簡化IdP配置。