在云SSO中,您可以根据资源目录(RD)的目录结构,为每个RD账号设置允许访问的用户或用户组,以及对应的访问权限(访问配置)。您可以为RD企业管理账号授权,也可以为任意一个成员账号授权。多账号授权方式 云SSO管理员可以使用以下几种...
本文为您介绍如何创建、查看和删除云SSO服务关联角色(AliyunServiceRoleForCloudSSO)。应用场景 服务关联角色(AliyunServiceRoleForCloudSSO)具有操作RAM角色、RAM用户、权限策略和服务提供商等的权限,方便云SSO进行RD统一权限配置。...
本文为您介绍通过SCIM协议,将Okta中的用户或用户组同步到云SSO。前提条件 基于SCIM的用户同步适用于开通云SSO的企业用户。背景信息 假设企业在本地IdP Okta中有大量用户,且已在阿里云资源目录(RD)中搭建了多账号体系结构。企业希望经过...
调用GetServiceStatus查询云SSO状态。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 ...
本文描述云SSO支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)产品提供了...
当您从资源目录(RD)中移除已在云SSO配置过授权的成员时,系统将会自动删除云SSO相关的资源和配置,同时云SSO用户将不能访问该RD成员。RD成员中所有与云SSO相关的以下资源将会被自动删除。以AliyunReservedSSO开头的RAM角色。以...
登录方式 云SSO提供了以下两种用户登录方式,且只能启用一种登录方式。例如:启用用户名密码登录的时候,会自动禁用单点登录,反之亦然。用户名密码登录 当云SSO用户访问阿里云时,您需要使用用户名和密码登录。单点登录(SSO登录)当外部...
当云 SSO 用户被同步到 RAM 时,如果 RAM 已经存在同名用户,则对云 SSO 用户的用户名添加后缀_sso 后尝试创建该用户名的 RAM 用户。TakeOver:替换。当云 SSO 用户被同步到 RAM 时,如果 RAM 已经存在同名用户,则直接将已经存在的 RAM ...
在 SSO登录 的 身份提供商(IdP)信息 区域,单击 配置身份提供商信息。在 配置身份提供商信息 对话框,选择 上传元数据文档 或 手动配置,然后配置身份提供商信息。以下两种方式您可以任选其一进行配置,相关元数据文件或配置信息请从身份...
您可以从支持SCIM 2.0的外部IdP同步用户或用户组到云SSO。本文为您介绍在云SSO如何启用SCIM同步、获取SCIM服务端地址、禁用SCIM同步的具体操作。启用SCIM同步 启用SCIM同步后,您才能从外部IdP同步用户或用户组到云SSO。同时,您还需要创建...
本文提供一个以Google Workspace与阿里云进行用户SSO的示例,帮助您理解企业IdP与阿里云进行SSO的端到端配置流程。步骤一:在阿里云获取SAML服务提供商元数据 使用阿里云账号登录 RAM控制台。在左侧导航栏,选择 集成管理>SSO管理。在 SSO...
本文提供一个以Okta与阿里云进行用户SSO的示例,帮助您理解企业IdP与阿里云进行SSO的端到端配置流程。步骤一:在阿里云获取SAML服务提供商元数据 使用阿里云账号登录 RAM控制台。在左侧导航栏,选择 集成管理>SSO管理。在 SSO管理 页面,...
当云 SSO 用户被同步到 RAM 时,如果 RAM 已经存在同名用户,则对云 SSO 用户的用户名添加后缀_sso 后尝试创建该用户名的 RAM 用户。TakeOver:替换。当云 SSO 用户被同步到 RAM 时,如果 RAM 已经存在同名用户,则直接将已经存在的 RAM ...
本文提供一个以Azure AD(Azure Active Directory)与阿里云进行用户SSO的示例,帮助您理解企业IdP与阿里云进行SSO的端到端配置流程。背景信息 在本示例中,企业拥有一个阿里云账号和一个Azure AD租户。在Azure AD租户中,您有一个管理员...
本文为您介绍RAM中单点登录(SSO)相关的一些常见问题。如何在浏览器中查看SAML响应?当您在单点登录过程中遇到问题时,您可以在Google Chrome浏览器中,查看SAML响应,方便定位问题。不同浏览器版本的操作可能略有差异,如下以Google ...
登录 云SSO控制台。在左侧导航栏,单击 多账号权限管理。在 多账号权限管理 页面,选择目标RD账号。本示例中,选择RD成员(Sandbox Account)。单击 配置RAM用户同步。在 配置RAM用户同步 面板,选择目标用户或用户组,然后单击 下一步。本...
本文为您介绍在云SSO中创建访问配置的操作。操作步骤 登录 云SSO控制台。在左侧导航栏,单击 访问配置管理。在 访问配置管理 页面,单击 创建访问配置。在 创建访问配置 面板,配置以下基本信息,然后单击 确定。访问配置名称:必选参数。...
本文介绍了云SSO新功能的发布时间、发布地域和相关文档。2022年11月 功能名称 功能描述 发布时间 发布地域 相关文档 MFA 新增异常登录时的MFA配置。2022-11 全部 管理MFA 2022年10月 功能名称 功能描述 发布时间 发布地域 相关文档 RAM用户...
本文为您介绍云SSO的计费方式。云SSO为免费产品,开通后即可正常使用,不收取任何费用。
本文提供一个以Azure AD(Azure Active Directory)与阿里云进行角色SSO的示例,帮助用户理解企业IdP与阿里云进行SSO的端到端配置流程。背景信息 在本示例中,企业拥有一个阿里云账号(Account1)和一个Azure AD租户。在Azure AD租户中,您...
访问方式 描述 适用场景 相关文档 以RAM用户登录 企业在云SSO集中管理访问阿里云的用户,通过RAM用户同步,实现用户登录到资源目录成员内的RAM用户,然后访问该RD成员中的云资源。适用不支持RAM角色的云服务。配置RAM用户同步 以RAM角色...
背景信息 警告 修改目录名称会影响云SSO用户的登录地址,请在修改后务必将新的登录地址通知用户。否则,将导致云SSO用户无法正常登录。在概览页面修改目录名称 登录 云SSO控制台。在左侧导航栏,单击 概览。在页面右侧的 用户登录URL 区域...
访问配置组成要素 一个访问配置的主要组成要素如下:会话持续时间:云SSO用户使用访问配置访问RD账号时,会话最长能保持多久。初始访问页面:云SSO用户使用访问配置访问RD账号时,初始访问的页面地址。权限集合:云SSO用户使用访问配置访问...
本文为您介绍云SSO OpenAPI的基本信息。关于如何使用阿里云OpenAPI,请参见 使用OpenAPI。接口版本 版本号 说明 2021-05-15 推荐使用。服务接入点 具体信息,请参见 服务接入点。用户身份 用户身份 支持情况 阿里云账号 支持 RAM用户(推荐...
当您不需要目录时,可以删除该目录。前提条件 删除目录前,请确保目录中没有资源。...删除用户:具体操作,请参见 删除用户。删除用户组:具体操作,请参见 删除用户组...后续步骤 删除后,您可以根据需要重新 创建目录,也可以选择 关闭云SSO。
接口说明 在基于 SAML 2.0 的 SSO 登录过程中,云 SSO 目录是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。配置 SAML 身份提供商(IdP)信息有以下两种方式,您可以任选其一进行配置,但不能同时进行配置。需要用到...
当云 SSO 用户被同步到 RAM 时,如果 RAM 已经存在同名用户,则对云 SSO 用户的用户名添加后缀_sso 后尝试创建该用户名的 RAM 用户。TakeOver:替换。当云 SSO 用户被同步到 RAM 时,如果 RAM 已经存在同名用户,则直接将已经存在的 RAM ...
原则3在生产环境中运行实验 混沌工程推荐故障演练是在生产环境中进行,主要的原因有以下两点:系统的行为会根据环境和流量模式的变化,例如系统依赖的组件在测试环境和生产环境会有比较大的差异。系统的监控和人员的应急响应在测试环境和...
故障通告及更新 基于7x24监控值班工作特性,对于业务异常达到故障等级时,以用户定制的(语音、短信、IM)的方式在约定时间内将故障影响信息以及处理进展通知给对应的接收人/组,并持续更新直至故障结束。故障应急协同群 故障发生后,可以...
结果验证 使用云SSO用户(user1)登录云SSO用户门户。具体操作,请参见 登录用户门户并访问阿里云资源。在 以RAM角色登录 页签,单击成员账号(Sandbox Account)权限 列的 显示详情。在权限面板,单击目标访问配置 操作 列的 登录。以RAM...
本文为您介绍通过SCIM协议,将Azure AD(Azure Active Directory)中的用户或用户组同步到云SSO。背景信息 Azure AD中的所有配置操作需要管理员用户(已授予全局管理员权限)执行。关于如何在Azure AD中创建用户及授权为管理员的操作,请...
当云 SSO 用户被同步到 RAM 时,如果 RAM 已经存在同名用户,则对云 SSO 用户的用户名添加后缀_sso 后尝试创建该用户名的 RAM 用户。TakeOver:替换。当云 SSO 用户被同步到 RAM 时,如果 RAM 已经存在同名用户,则直接将已经存在的 RAM ...
当云 SSO 用户被同步到 RAM 时,如果 RAM 已经存在同名用户,则对云 SSO 用户的用户名添加后缀_sso 后尝试创建该用户名的 RAM 用户。TakeOver:替换。当云 SSO 用户被同步到 RAM 时,如果 RAM 已经存在同名用户,则直接将已经存在的 RAM ...
本文为您介绍云SSO用户的基本操作,包括创建用户、查看用户信息、修改用户基本信息、删除用户、启用或禁用用户登录和重置用户密码。创建用户 登录 云SSO控制台。在左侧导航栏,选择 人员管理>用户。在 用户 页面,单击 创建用户。在 创建...
本产品(云SSO/2021-05-15)的OpenAPI采用 RPC 签名风格,签名细节参见 签名机制说明。我们已经为开发者封装了常见编程语言的SDK,开发者可通过 下载SDK 直接调用本产品OpenAPI而无需关心技术细节。如果现有SDK不能满足使用需求,可通过...
本文为您提供Shibboleth与云SSO进行单点登录(SSO登录)的示例。准备工作 安装Shibboleth、Tomcat和LDAP Server。说明 本文中涉及的Shibboleth配置部分属于建议,仅用于帮助理解阿里云SSO登录的端到端配置流程,阿里云不提供Shibboleth配置...
使用RAM管理员开通云SSO,创建云SSO用户并授予管理员权限后,即可使用云SSO身份继续进行管理。RAM用户 RAM用户需要由阿里云账号(主账号)或拥有管理员权限的RAM用户、RAM角色来创建,且必须在获得授权后才能登录控制台或使用API访问阿里云...
本文以Python SDK为例,为您介绍如何通过云SSO OpenAPI调用GetServiceStatus接口查询云SSO开通状态。步骤一:查看OpenAPI文档 阅读 API概览,选择可以查询云SSO开通状态的OpenAPI:GetServiceStatus-查询云SSO状态。根据接口文档,了解调用...
操作步骤 登录 云SSO控制台。在左侧导航栏,单击 访问配置管理。在 访问配置管理 页面,单击目标访问配置名称。单击 详情 页签,查看访问配置的基本信息、系统策略和内置策略。单击 部署 页签,查看该访问配置已部署的RD账号。
16.1 为了提供支持关键过程的计算机化系统,应作出规定,确保在系统出现故障(例如手动或替代系统)时继续为这些流程提供支持。采用替代安排所需的时间应视风险而定,并适合特定系统及其所支持的业务流程。应充分记录和测试这些安排。17.1 ...