應用場景

云SSO提供基于阿里云資源目錄RD（Resource Directory）的多賬號統一身份管理與訪問控制。云SSO管理員可以創建多個云SSO用戶，統一配置云SSO用戶對RD內任意成員的訪問權限（訪問配置）。當云SSO用戶登錄用戶門戶時，可以查看自己有權限訪問的RD成員列表，以及在每個RD成員中擁有的訪問權限（訪問配置），然后以訪問配置中的權限訪問RD成員中對應資源。

本文將提供一個示例，使用RD管理賬號在云SSO中創建一個用戶（user1），在RD成員（Sandbox Account）上部署訪問配置，該訪問配置僅定義了VPC的管理權限，實現云SSO的用戶（user1）僅能訪問RD成員（Sandbox Account）中的VPC資源。

前提條件

• 請確保您已開通了資源目錄，并搭建了企業的多賬號組織結構。

  更多信息，請參見資源目錄概述和開通資源目錄。

• 請確保您已開通了云SSO并創建了目錄。

  更多信息，請參見什么是云SSO、開通云SSO和創建目錄。

• 請使用RD管理賬號或RD管理賬號中擁有AliyunCloudSSOFullAccess權限的RAM用戶操作。

操作步驟

1. 登錄云SSO控制臺。

2. 在云SSO中創建用戶。

   本示例中，將創建一個名為user1的用戶。

   具體操作，請參見創建用戶。

3. 啟用云SSO的用戶名和密碼登錄方式。

   具體操作，請參見啟用用戶名密碼登錄。

4. 創建訪問配置。

   本示例中，創建的訪問配置中綁定系統策略（AliyunVPCFullAccess），不使用內置策略。

   更多信息，請參見訪問配置概述和創建訪問配置。

5. 授權云SSO用戶對RD成員進行訪問。

   本示例中，將授權云SSO用戶（user1）訪問RD成員（Sandbox Account）中的VPC資源。

   具體操作，請參見在RD賬號上授權。

6. 云SSO用戶訪問RD成員中的資源。

   1. 使用云SSO用戶（user1）的用戶名和密碼登錄云SSO用戶門戶。

   2. 登錄目標RD成員（Sandbox Account）。

   3. 以RAM角色身份訪問RD成員（Sandbox Account）中的VPC資源。

   具體操作，請參見登錄用戶門戶并訪問阿里云資源。

后續步驟

您可以參照上述方法創建多個云SSO用戶和訪問配置，在多個RD成員上授權，實現多賬號身份和權限的統一管理。也可以同步企業本地身份管理系統（IdP）中的用戶，通過單點登錄的方式訪問RD成員中的資源。更多信息，請參見什么是云SSO。