云SSO地域说明
本文为您介绍云SSO目录支持的地域,以及可能涉及的跨地域数据传输问题。云SSO目录地域 创建云SSO目录时,您需要选择一个地域作为云SSO目录的所在地域。云SSO相关数据(包括您在云SSO管理的身份、权限和授权关系等信息)都会保存在该地域。...
关闭云SSO
当云SSO内没有任何目录时,您可以根据需要关闭云SSO。关闭后,您也可以随时开启。操作步骤 登录 云SSO控制台。单击 关闭云SSO服务。在 关闭云SSO服务 对话框,单击 确定。关闭云SSO后,会自动解除与资源目录的可信关系。
修改密码
具体操作,请参见 登录云SSO用户门户并访问阿里云资源。鼠标悬浮在页面右上角的用户头像上,然后单击 修改密码。在 修改密码 页面,输入旧密码和新密码,然后单击 确认。新密码需要符合云SSO管理员设置的密码策略。更多信息,请参见 设置...
云SSO海外访问加速
由于云SSO的目录数据是地域化存储的,如果您的云SSO目录所在地域为中国内地地域(目前只有华东2(上海)地域),您的目标用户在中国内地以外的地域访问云SSO,或您的身份提供商(IdP)部署在中国内地以外的地域,SCIM同步需要从IdP传输数据...
开通云SSO
云SSO需要开通才能使用。开通云SSO后,您可以免费使用本服务。前提条件 请确保您已开通了资源目录,并搭建了企业的多账号组织结构。更多信息,请参见 资源目录概述。只能使用资源目录的管理账号或管理账号下具有权限的RAM用户才能开通云SSO...
什么是云SSO
使用云SSO,您可以统一管理企业中使用阿里云的用户,一次性配置企业身份管理系统与阿里云的单点登录,并统一配置所有用户对RD账号的访问权限。功能特性 统一管理使用阿里云的用户 云SSO为您提供一个原生的身份目录,您可以将所有需要访问...
Okta与云SSO进行单点登录的示例
本文为您提供Okta与云SSO进行单点登录(SSO登录)的示例。背景信息 假设企业在本地IdP Okta中有大量用户,且已在阿里云资源目录(RD)中搭建了多账号体系结构。企业希望经过配置,使Okta的用户通过SSO登录的方式直接访问资源目录指定成员...
Azure AD与云SSO进行单点登录的示例
本文为您提供Azure AD(Azure Active Directory)与云SSO进行单点登录(SSO登录)的示例。背景信息 假设企业在本地IdP Azure AD中有大量用户,且已在阿里云资源目录(RD)中搭建了多账号体系结构。企业希望经过配置,使Azure AD的用户通过...
AD FS与云SSO进行单点登录的示例
本文为您提供AD FS(Active Directory Federation Service)与云SSO进行单点登录(SSO登录)的示例。背景信息 假设企业使用Active Directory(AD)进行本地用户管理,且已在阿里云资源目录(RD)中搭建了多账号体系结构。企业希望经过配置...
云SSO服务条款
欢迎您使用阿里云云SSO服务。云SSO是访问控制的子服务,服务条款遵从访问控制的服务条款。具体信息,请参见 访问控制(Resource Access Management)服务条款。
单点登录概述
云SSO支持基于SAML 2.0的单点登录(SSO登录)。阿里云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过SSO登录,企业员工可以使用IdP中的用户身份直接登录云SSO。云SSO可以一次性配置企业身份管理系统与阿里云的...
管理MFA
云SSO管理员可以根据需要,启用全局MFA校验或启用单个云SSO用户的MFA校验。云SSO管理员 配置全局MFA、配置用户MFA 2 添加MFA设备。云SSO用户首次登录云SSO用户门户时,添加MFA设备,然后进行MFA校验。云SSO用户 添加第一个MFA设备 本文主要...
开始使用云SSO
本文为您介绍使用云SSO的前提条件、流程和配置示例,方便您快速上手和使用。前提条件 请确保您已开通了资源目录,并搭建了企业的多账号组织结构。更多信息,请参见 资源目录概述。只能使用资源目录的管理账号或管理账号下具有权限的RAM用户...
使用CLI登录云SSO并访问阿里云资源
云SSO已与阿里云CLI进行了集成。用户除了使用浏览器登录云SSO用户门户,也可以通过阿里云CLI登录。登录后,选择对应RD账号和权限,通过CLI命令行访问阿里云资源。本文为您介绍云SSO用户使用阿里云CLI登录云SSO的操作方法。步骤一:安装CLI ...
创建目录
目录是云SSO的实例。使用云SSO必须首先创建一个目录,所有云SSO资源都必须在目录中维护。云SSO目录地域 创建云SSO目录时,您需要选择一个地域作为云SSO目录的所在地域。云SSO相关数据(包括您在云SSO管理的身份、权限和授权关系等信息)...
单点登录(SSO)常见问题
本文为您介绍云SSO中单点登录(SSO)相关的一些常见问题。如何在浏览器中查看SAML响应?当您在单点登录过程中遇到问题时,您可以在Google Chrome浏览器中,查看SAML响应,方便定位问题。不同浏览器版本的操作可能略有差异,如下以Google ...
基本概念
本文为您介绍云SSO的基本概念。概念 说明 目录 目录是云SSO的实例。使用云SSO必须首先创建一个目录,所有云SSO资源都必须在目录中维护。您需要选择一个地域作为云SSO目录的所在地域。阿里云确保您目录中的所有数据只会被保存在该地域,以...
添加或删除MFA设备
本文为您介绍云SSO用户自行添加或删除MFA设备的具体操作。前提条件 请确保MFA处于启用状态。更多信息,请参见 配置全局MFA 和 配置用户MFA。添加第一个MFA设备 在启用MFA的情况下,当云SSO用户通过用户名密码登录云SSO用户门户时,会被要求...
登录云SSO用户门户并访问阿里云资源
步骤一:获取用户门户访问地址 云SSO管理员登录 云SSO控制台。在左侧导航栏,单击 概览。在 概览 页面的右侧,查看或复制 用户登录URL。说明 如您启用了加速域名功能,云SSO用户登录时可以使用加速URL。更多信息,请参见 云SSO海外访问加速...
DisableService-关闭云SSO
调用DisableService关闭云SSO。接口说明 当云 SSO 内没有任何目录时,您可以根据需要关闭云 SSO。关闭后,您也可以随时开启它。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以...
EnableService-开通云SSO
调用EnableService开通云SSO。接口说明 只有资源目录的管理账号下具有开通云 SSO 权限的用户才能调用本 API。更多信息,请参见 开通云 SSO。调用该 API 视同您同意 产品协议。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算...
多账号授权概述
在云SSO中,您可以根据资源目录(RD)的目录结构,为每个RD账号设置允许访问的用户或用户组,以及对应的访问权限(访问配置)。您可以为RD企业管理账号授权,也可以为任意一个成员账号授权。多账号授权方式 云SSO管理员可以使用以下几种...
云SSO服务关联角色
本文为您介绍如何创建、查看和删除云SSO服务关联角色(AliyunServiceRoleForCloudSSO)。应用场景 服务关联角色(AliyunServiceRoleForCloudSSO)具有操作RAM角色、RAM用户、权限策略和服务提供商等的权限,方便云SSO进行RD统一权限配置。...
通过SCIM同步Okta用户或用户组的示例
本文为您介绍通过SCIM协议,将Okta中的用户或用户组同步到云SSO。前提条件 基于SCIM的用户同步适用于开通云SSO的企业用户。背景信息 假设企业在本地IdP Okta中有大量用户,且已在阿里云资源目录(RD)中搭建了多账号体系结构。企业希望经过...
GetServiceStatus-查询云SSO状态
调用GetServiceStatus查询云SSO状态。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 ...
云SSO系统权限策略参考
本文描述云SSO支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)产品提供了...
从资源目录中移除成员对云SSO授权的影响
当您从资源目录(RD)中移除已在云SSO配置过授权的成员时,系统将会自动删除云SSO相关的资源和配置,同时云SSO用户将不能访问该RD成员。RD成员中所有与云SSO相关的以下资源将会被自动删除。以AliyunReservedSSO开头的RAM角色。以...
设置登录方式
登录方式 云SSO提供了以下两种用户登录方式,且只能启用一种登录方式。例如:启用用户名密码登录的时候,会自动禁用单点登录,反之亦然。用户名密码登录 当云SSO用户访问阿里云时,您需要使用用户名和密码登录。单点登录(SSO登录)当外部...
CreateUserProvisioning-创建RAM用户同步
当云 SSO 用户被同步到 RAM 时,如果 RAM 已经存在同名用户,则对云 SSO 用户的用户名添加后缀_sso 后尝试创建该用户名的 RAM 用户。TakeOver:替换。当云 SSO 用户被同步到 RAM 时,如果 RAM 已经存在同名用户,则直接将已经存在的 RAM ...
管理单点登录
在 SSO登录 的 身份提供商(IdP)信息 区域,单击 配置身份提供商信息。在 配置身份提供商信息 对话框,选择 上传元数据文档 或 手动配置,然后配置身份提供商信息。以下两种方式您可以任选其一进行配置,相关元数据文件或配置信息请从身份...
启用或禁用SCIM同步
您可以从支持SCIM 2.0的外部IdP同步用户或用户组到云SSO。本文为您介绍在云SSO如何启用SCIM同步、获取SCIM服务端地址、禁用SCIM同步的具体操作。启用SCIM同步 启用SCIM同步后,您才能从外部IdP同步用户或用户组到云SSO。同时,您还需要创建...
UpdateUserProvisioning-修改RAM用户同步
当云 SSO 用户被同步到 RAM 时,如果 RAM 已经存在同名用户,则对云 SSO 用户的用户名添加后缀_sso 后尝试创建该用户名的 RAM 用户。TakeOver:替换。当云 SSO 用户被同步到 RAM 时,如果 RAM 已经存在同名用户,则直接将已经存在的 RAM ...
Shibboleth与云SSO进行单点登录的示例
本文为您提供Shibboleth与云SSO进行单点登录(SSO登录)的示例。准备工作 安装Shibboleth、Tomcat和LDAP Server。说明 本文中涉及的Shibboleth配置部分属于建议,仅用于帮助理解阿里云SSO登录的端到端配置流程,阿里云不提供Shibboleth配置...
配置RAM用户同步
登录 云SSO控制台。在左侧导航栏,单击 多账号权限管理。在 多账号权限管理 页面,选择目标RD账号。本示例中,选择RD成员(Sandbox Account)。单击 配置RAM用户同步。在 配置RAM用户同步 面板,选择目标用户或用户组,然后单击 下一步。本...
创建访问配置
本文为您介绍在云SSO中创建访问配置的操作。操作步骤 登录 云SSO控制台。在左侧导航栏,单击 访问配置管理。在 访问配置管理 页面,单击 创建访问配置。在 创建访问配置 面板,配置以下基本信息,然后单击 确定。访问配置名称:必选参数。...
功能发布记录
本文介绍了云SSO新功能的发布时间、发布地域和相关文档。2022年11月 功能名称 功能描述 发布时间 发布地域 相关文档 MFA 新增异常登录时的MFA配置。2022-11 全部 管理MFA 2022年10月 功能名称 功能描述 发布时间 发布地域 相关文档 RAM用户...
计费方式
本文为您介绍云SSO的计费方式。云SSO为免费产品,开通后即可正常使用,不收取任何费用。
RAM用户同步概述
访问方式 描述 适用场景 相关文档 以RAM用户登录 企业在云SSO集中管理访问阿里云的用户,通过RAM用户同步,实现用户登录到资源目录成员内的RAM用户,然后访问该RD成员中的云资源。适用不支持RAM角色的云服务。配置RAM用户同步 以RAM角色...
修改目录名称
背景信息 警告 修改目录名称会影响云SSO用户的登录地址,请在修改后务必将新的登录地址通知用户。否则,将导致云SSO用户无法正常登录。在概览页面修改目录名称 登录 云SSO控制台。在左侧导航栏,单击 概览。在页面右侧的 用户登录URL 区域...
访问配置概述
访问配置组成要素 一个访问配置的主要组成要素如下:会话持续时间:云SSO用户使用访问配置访问RD账号时,会话最长能保持多久。初始访问页面:云SSO用户使用访问配置访问RD账号时,初始访问的页面地址。权限集合:云SSO用户使用访问配置访问...
- 产品推荐
- 这些文档可能帮助您