Topik ini menjelaskan cara menggunakan CloudSSO dan Resource Directory untuk mengelola identitas dan izin beberapa akun perusahaan secara terpusat.
Skenario
CloudSSO terintegrasi dengan Alibaba Cloud Resource Directory untuk menyediakan manajemen identitas multi-akun terpusat dan kontrol akses. Administrator CloudSSO dapat membuat beberapa Pengguna CloudSSO dan memberikan izin akses kepada anggota dalam direktori sumber daya secara terpusat. CloudSSO menyediakan portal pengguna terpadu. Setelah Pengguna CloudSSO masuk ke portal, mereka dapat melihat semua anggota yang dapat diakses dalam direktori sumber daya beserta izin akses pada setiap anggota. Pengguna CloudSSO dapat mengakses sumber daya dalam anggota berdasarkan izin tersebut.
Topik ini memberikan contoh cara memberikan izin akses kepada Pengguna CloudSSO pada anggota dalam direktori sumber daya. Dalam contoh ini, akun manajemen direktori sumber daya digunakan untuk membuat Pengguna CloudSSO bernama user1, serta menyediakan konfigurasi akses untuk anggota Sandbox Account dalam direktori sumber daya. Konfigurasi akses mendefinisikan izin hanya pada sumber daya virtual private cloud (VPC). Setelah konfigurasi selesai, user1 hanya dapat mengakses sumber daya VPC dalam Sandbox Account.
Prasyarat
Direktori sumber daya telah diaktifkan, dan akun Alibaba Cloud yang diperlukan telah ditambahkan ke direktori sumber daya.
Untuk informasi lebih lanjut, lihat Ikhtisar Direktori Sumber Daya dan Aktifkan Direktori Sumber Daya.
CloudSSO telah diaktifkan, dan Direktori CloudSSO telah dibuat.
Untuk informasi lebih lanjut, lihat Apa itu CloudSSO?, Aktifkan CloudSSO, dan Buat Direktori CloudSSO.
Pengguna RAM dengan kebijakan AliyunCloudSSOFullAccess yang dilampirkan dalam akun manajemen direktori sumber daya telah dipersiapkan. Anda hanya dapat melakukan operasi yang dijelaskan dalam topik ini menggunakan akun manajemen direktori sumber daya atau Pengguna RAM.
Prosedur
Masuk ke Konsol CloudSSO.
Buat Pengguna CloudSSO.
Dalam contoh ini, Pengguna CloudSSO bernama user1 dibuat.
Untuk informasi lebih lanjut, lihat Buat Pengguna.
Aktifkan login nama pengguna-kata sandi untuk Pengguna CloudSSO.
Untuk informasi lebih lanjut, lihat Aktifkan Login Nama Pengguna-Kata Sandi.
Buat konfigurasi akses.
Dalam contoh ini, konfigurasi akses mencakup kebijakan sistem AliyunVPCFullAccess dan tidak ada kebijakan inline.
Untuk informasi lebih lanjut, lihat Ikhtisar dan Buat Konfigurasi Akses.
Otorisasi Pengguna CloudSSO untuk mengakses sumber daya dalam anggota direktori sumber daya.
Dalam contoh ini, user1 diberi otorisasi untuk mengakses sumber daya VPC dalam anggota Sandbox Account di direktori sumber daya.
Untuk informasi lebih lanjut, lihat Tetapkan Izin Akses pada Akun dalam Direktori Sumber Daya.
Akses sumber daya dalam anggota direktori sumber daya sebagai Pengguna CloudSSO.
Masuk ke portal pengguna CloudSSO menggunakan nama pengguna dan kata sandi Pengguna CloudSSO. Dalam contoh ini, nama pengguna dan kata sandi user1 digunakan.
Pilih anggota Sandbox Account.
Akses sumber daya VPC dalam Sandbox Account sebagai Peran RAM.
Untuk informasi lebih lanjut, lihat Masuk ke Portal Pengguna CloudSSO dan Akses Sumber Daya Alibaba Cloud.
Langkah selanjutnya
Anda dapat merujuk pada langkah-langkah sebelumnya untuk membuat beberapa Pengguna CloudSSO dan konfigurasi akses, serta memberikan izin akses kepada Pengguna CloudSSO pada beberapa anggota dalam direktori sumber daya. Dengan cara ini, Anda dapat mengelola identitas dan izin beberapa akun Alibaba Cloud secara terpusat. Anda juga dapat menyinkronkan pengguna dari penyedia identitas (IdP) dan mengakses sumber daya dalam anggota direktori sumber daya menggunakan single sign-on (SSO). Untuk informasi lebih lanjut, lihat Apa itu CloudSSO?.