通過Okta+阿里雲Cloud SSO使用PAI - Platform For AI

本文介紹了如何通過Okta和阿里雲Cloud SSO實現多賬戶的單點登入，以簡化企業使用者的身份管理和存取控制。通過整合資來源目錄和Cloud SSO，企業可以統一管理阿里雲使用者的存取權限，並有效提升安全性和管理效率，適用於不同角色的PAI營運和開發工作。

概念介紹

阿里雲資來源目錄

資來源目錄RD（Resource Directory）是阿里雲面向企業使用者提供的一套多級帳號和資源關係管理服務，詳情請參見什麼是資來源目錄。

阿里雲資來源目錄的成員

資來源目錄中的每個成員都是一個阿里雲主賬戶，通常代表使用者的一個部門。每個成員可以建立多個Cloud SSO角色賬戶和RAM賬戶，以代表部門內的員工。

阿里雲Cloud SSO

Cloud SSO提供基於阿里雲資來源目錄RD的多帳號統一身份管理與存取控制。使用Cloud SSO，您可以統一管理企業中使用阿里雲的使用者，一次性配置企業身份管理系統與阿里雲的單點登入，並統一配置所有使用者對RD帳號的存取權限，詳情請參見什麼是雲SSO。

PAI營運賬戶與普通開發賬戶

PAI營運賬戶：負責營運工作，如開通PAI、授權PAI服務賬戶、購買Quota、建立工作空間、新增成員到工作空間等。
PAI普通開發：負責演算法開發工作，如建立訓練任務（DLC）、建立推理任務（EAS）等。

解決方案

下圖展示了通過Okta和阿里雲Cloud SSO實現多賬戶的單點登入解決方案。此方案簡化了身份管理和存取控制，支援多賬戶和基於角色的許可權分配，有效提升了安全性和管理效率。

準備工作

已建立阿里雲賬戶，並開通資來源目錄。
登入Okta賬戶，且該賬戶為Okta管理賬戶。

1. 配置Okta

以Okta管理賬戶登入Okta。後續所有操作都以Okta管理賬戶身份進行。
在Applications > Applications頁面建立Alibaba Cloud CloudSSO。
進入Alibaba Cloud CloudSSO，在Assignments頁簽下匯入使用者公司的企業賬戶為Okta使用者。
在Sign On頁簽下配置阿里雲單點登入，允許Okta使用者通過SSO登入阿里雲。操作詳情，請參見使用Okta進行使用者SSO的樣本。

2. 配置阿里雲

2.1 配置資來源目錄

以Okta管理賬戶登入Alibaba Cloud CloudSSO，選擇RD管理賬戶並通過Administrator（用於管理阿里雲的資來源目錄）進行登入，後續所有操作都以RD管理賬戶身份進行。
進入資來源目錄頁面，建立資來源目錄成員。

2.2 配置Cloud SSO

進入Cloud SSO-訪問配置。

在訪問配置頁面，分別建立PAI營運訪問配置和PAI開發訪問配置。

關鍵參數說明如下：

PAI營運訪問配置

步驟	說明
基本資料	訪問配置名稱：PAI營運訪問配置名稱，如`PAIOps`。初始訪問頁面：設定為PAI控制台：`https://pai.console.alibabacloud.com/`。設定後，該成員授權的阿里雲角色賬戶和RAM賬戶登入後訪問的就是PAI控制台頁面。
系統策略	使用系統策略。授權AliyunPAIFullAccess系統策略。
內建策略	新增內建策略，輸入策略名稱稱後，將策略修改如下： { "Version": "1", "Statement": [ { "Action": [ "ram:CreateRole", "ram:AttachPolicy", "ram:GetRole" ], "Resource": [ "acs:ram:::role/AliyunODPSPAIDefaultRole", "acs:ram:::policy/AliyunODPSPAIRolePolicy", "acs:ram:::role/AliyunPAIAccessingOSSRole", "acs:ram:::policy/AliyunPAIAccessingOSSRolePolicy", "acs:ram:::role/AliyunPAIDLCAccessingOSSRole", "acs:ram:::policy/AliyunPAIDLCAccessingOSSRolePolicy", "acs:ram:::role/AliyunPAIDLCDefaultRole", "acs:ram:::policy/AliyunOSSFullAccess", "acs:ram:::policy/AliyunPAIDLCDefaultRolePolicy", "acs:ram:::policy/PaiDlcOAuthPolicy", "acs:ram:::role/AliyunPAIDSWDefaultRole", "acs:ram:::policy/AliyunPAIDSWDefaultRolePolicy" ], "Effect": "Allow" }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": [ "eas.pai.aliyuncs.com", "label.pai.aliyuncs.com", "plugin.pai.aliyuncs.com", "aiworkspace.pai.aliyuncs.com", "automl.pai.aliyuncs.com", "pairec.pai.aliyuncs.com", "featurestore.pai.aliyuncs.com", "aigc.pai.aliyuncs.com", "eas-customer-clusters.pai.aliyuncs.com", "langstudio.pai.aliyuncs.com", "abtest.pai.aliyuncs.com", "llmtrace.pai.aliyuncs.com" ] } } } ] }

該配置會在下面步驟3中授權給PAI營運賬戶。

PAI開發訪問配置

步驟	說明
①基本資料	訪問配置名稱：PAI開發訪問配置名稱，如`PAIDev`。初始訪問頁面：設定為PAI控制台：`https://pai.console.alibabacloud.com/`。設定後，該成員授權的阿里雲角色賬戶和RAM賬戶登入後訪問的就是PAI控制台頁面。
②系統策略	不使用系統策略。PAI相關許可權在4.1 PAI營運賬戶中通過PAI工作空間角色授予，因此這裡不需要授權RAM許可權。
③內建策略	無需新增內建策略，單擊關閉即可。

該配置會在下面步驟3中授權給PAI普通開發賬戶（PAI普通開發由於沒有其他阿里雲產品的授權，因此無法使用這些阿里雲產品）。

單擊步驟2.1.2中已建立的成員，為指定使用者/組配置許可權。

步驟

說明

①指定使用者/組

選擇要添加的Cloud SSO角色賬戶和RAM賬戶。

說明

因開啟了自動同步（通過SCIM同步Okta使用者或使用者組的樣本），這裡可選使用者列表為步驟1.3中匯入的使用者。
步驟4中使用者登入時看到的角色賬戶為該步驟添加的角色賬戶。

②指定訪問配置

選擇訪問配置。

推薦PAI營運賬戶選擇步驟2中建立的PAIOps訪問配置。
推薦PAI開發賬戶選擇步驟2中建立的PAIDev訪問配置。

說明

這裡會通過訪問配置設定Cloud SSO角色賬戶和RAM賬戶登入Cloud SSO後訪問的阿里雲頁面，以及對應的許可權。

3. 使用者登入阿里雲，自動跳轉到PAI

使用者登入Okta後，單擊Alibaba Cloud CloudSSO表徵圖跳轉到阿里雲Cloud SSO登入頁面。
在以RAM角色登入頁簽下選擇步驟2.1.2中建立的資來源目錄成員（阿里雲角色使用者）登入。
註：這裡阿里雲是服務提供者（SP），而Okta則是身份供應商（IdP）。
登入後會跳轉到PAI控制台首頁。
說明
當前資來源目錄的每個成員下第一個阿里雲角色賬戶開啟PAI時可能看到一個空白頁，此時需要訪問下該網域名稱即可，訪問過後，該成員的其他角色賬戶都可以順利開啟PAI。

4. 使用者使用PAI

4.1 PAI營運賬戶

開通PAI並建立預設工作空間。
開通並授權依賴的阿里雲產品。
將PAI普通開發賬戶（阿里雲角色賬戶）添加到工作空間。
通過工作空間角色設定開發賬戶具備的許可權，詳情請參見管理工作空間-成員及角色配置。
說明
- 如果搜尋不到建立的角色，可手動單擊重新整理來更新帳號列表。
- 如果官方角色不滿足需求，可以建立自訂角色。

4.2 PAI普通開發賬戶

進行演算法開發、訓練、推理等，詳情請參見AI開發。

Platform For AI：通過Okta+阿里雲Cloud SSO使用PAI