全部产品
Search
文档中心

云SSO:访问配置概述

更新时间:Dec 06, 2023

访问配置是云SSO用户用来访问RD账号的配置模板,其中包含权限配置。您可以使用该模板为云SSO用户在RD账号上授权。

访问配置组成要素

一个访问配置的主要组成要素如下:

  • 会话持续时间:云SSO用户使用访问配置访问RD账号时,会话最长能保持多久。

  • 初始访问页面:云SSO用户使用访问配置访问RD账号时,初始访问的页面地址。

  • 权限集合:云SSO用户使用访问配置访问RD账号时所具有的权限集合。

    • 系统策略:复用RAM中的系统策略。

    • 内置策略:按照RAM策略语法和结构自定义编写的策略,仅在当前访问配置中生效。

首次部署访问配置

当您为用户或用户组设置在RD账号中的权限时,需要指定一个访问配置。如果没有其他用户或用户组在该RD账号中部署过访问配置,则云SSO将会为您在RD账号的RAM中进行访问配置的部署操作。将要部署的内容如下:

  • 创建一个名为AliyunReservedSSO-<访问配置名称>的RAM角色。例如,访问配置TestAccessConfiguration被部署时,对应的RAM角色名为AliyunReservedSSO-TestAccessConfiguration

  • 如果访问配置中配置了内置策略,则将创建一个名为AliyunReservedSSO-<访问配置名称>-InlinePolicy的RAM自定义策略。例如,访问配置TestAccessConfiguration中的内置策略被部署时,对应的RAM自定义策略名为AliyunReservedSSO-TestAccessConfiguration-InlinePolicy

  • 在RAM角色上,将绑定所有访问配置中指定的系统策略及其内置策略所对应的RAM自定义策略。

  • 如果RD账号中还未进行过任何授权,则将创建一个名为AliyunReservedSSO-<云SSO目录ID>的身份提供商,以使云SSO用户可以使用角色SSO登录该RD账号。例如,访问配置所在目录ID是d-x0h0w370****,则创建的身份提供商名为AliyunReservedSSO-d-x0h0w370****

您在RD账号的RAM控制台上可以查看上述RAM角色、自定义策略和身份提供商,但不能对其进行任何修改或删除操作。

关于在RD账号上授权的具体操作,请参见在RD账号上授权

重新部署访问配置

如果访问配置已经部署在RD账号中,但访问配置发生了以下变更,这些变更不会自动更新到对应的RD账号中,此时需要您手动重新部署才能使变更生效。

  • 添加或移除系统策略。
  • 创建、修改或删除内置策略。
说明 修改会话持续时间和初始访问页面无需重新部署访问配置。

关于重新部署访问配置的具体操作,请参见重新部署访问配置

解除访问配置部署

您可以主动解除访问配置在一个RD账号中的部署。例如:

  • 当您移除一个RD账号上使用某访问配置的最后一个授权时,可以选择同时解除访问配置部署。

  • 当您浏览一个RD账号上已经部署的所有访问配置时,可以主动解除不需要的访问配置部署。

  • 当您浏览一个访问配置所部署的所有RD账号时,可以主动解除不需要的访问配置部署。

关于解除访问配置部署的具体操作,请参见解除访问配置部署

相关文档