本指南面向已熟悉 Microsoft Entra(原 Azure Active Directory)中用户管理、角色分配、条件访问等功能的专业人员,从产品对标、核心概念对标、应用场景实现等维度,系统梳理 Microsoft Entra与阿里云访问控制(Resource Access Management,RAM)之间的映射关系与关键差异,帮助您在跨云或多云场景中快速定位对应功能模块,减少因设计和术语概念差异导致的理解偏差。
为什么需要这份指南
阿里云 RAM 与 Microsoft Entra 在术语和架构上存在显著差异。如果你已熟悉 Azure 的身份与访问管理体系(Microsoft Entra),现在需要在阿里云上完成类似工作,直接套用 Azure 经验容易产生误解。例如:
Azure 的"角色"是权限集合,而阿里云的"角色"是一种身份实体。两者含义完全不同。
Azure 将身份管理与资源访问控制分开,阿里云 RAM 则统一管控。
阿里云没有"服务主体"概念,程序身份通过 AccessKey 或角色扮演实现。
本指南通过系统化的概念对标与场景映射,帮助你建立从 Azure/Microsoft Entra 到阿里云访问控制的完整认知映射。
主题导航
本指南包含以下主题:
产品对标
在展开细节之前,先建立全局视角。下表列出了 Microsoft Entra 体系中的核心服务与阿里云的对应关系:
Azure服务 | 阿里云服务 | 说明 |
云平台的核心身份管理与访问控制服务,提供多因素认证、单点登录、应用集成及令牌颁发等功能。具体请参见身份认证与应用集成。 | ||
阿里云 RAM 通过权限策略统一管控账号下所有资源,具体请参见权限概念映射。 | ||
管理身份实体、应用程序接入及权限策略分配的 API,具体请参见开发与SDK。 | ||
提供跨账号/租户的访问能力,具体请参见跨账号/租户访问。 |
设计理念差异
Azure和阿里云均提供身份管理与访问控制能力,但两者在架构设计上采用了不同的方式:
Microsoft Entra ID是Azure中专用于身份和访问管理的服务。Entra ID租户是专门的身份边界,用于集中组织用户、应用程序和访问策略等实体对象,与 Azure 资源订阅相互独立。这种设计便于在复杂的企业环境中实现身份的统一治理。
阿里云将访问控制作为阿里云账号的内置能力。阿里云账号同时承担身份和资源的管理边界,RAM 用户、角色和权限策略均在账号范围内定义和生效。这种设计使身份与资源的关联更为直接,便于快速建立访问控制体系。
核心概念对标
本部分从资源架构、身份实体、权限模型三个维度,系统梳理两个平台核心概念之间的术语映射与关键差异。
资源管理架构
两个平台都用“层级树”来组织资源,但层级的名称和含义有差异。
Azure 概念 | 阿里云概念 | 层级 | 说明 |
租户(Tenant) | 管理账号 | 顶层容器 | 企业级顶层管理容器。管理账号是整个资源目录的拥有者,对资源目录、资源夹和成员拥有完全控制权限。Root 资源夹是目录结构的顶层节点。 |
管理组(Management Group) | 资源夹 | 组织单元 | 用于组织和管理多个订阅/账号的层级结构,都支持嵌套子管理组/资源夹。 |
订阅(Subscription) | 账号 | 隔离边界 | 成员账号在逻辑上等同于 Azure 订阅,是资源的隔离边界。 |
资源组(Resource Group) | 资源组 | 分组单元 | 资源的容器。阿里云的资源组不用于资源生命周期管理。 |
资源(Resource) | 资源 | 资源 | 具体的云资源,如虚拟机、存储、数据库等。 |
Azure资源层级架构图
Azure 采用“租户 → 管理组 → 订阅 → 资源组 → 资源”的五层架构。租户(Tenant)作为身份边界,管理组用于多订阅的统一合规性控制及逻辑组织分类,订阅是计费和资源隔离的基本单位。
阿里云资源层级架构图
阿里云采用“管理账号 → 资源夹 → 成员账号 → 资源组 → 资源”的层级架构。管理账号是资源目录的拥有者,资源夹用于组织成员账号,成员账号是资源隔离边界。
关键差异
身份边界与资源边界:Microsoft Entra ID租户是独立的身份边界,用于隔离用户、应用程序和访问策略等身份相关数据,无法在租户下直接创建 Azure 资源。阿里云管理账号本质是一个阿里云账号,具备直接创建资源的能力(但在企业场景下不建议在管理账号下创建业务资源)。
资源目录的可选性:Azure 订阅必须关联到租户,且必须属于管理组层级结构。阿里云的资源目录是可选功能,只有开启后才具备管理账号、资源夹等层级结构。未开启资源目录时,阿里云账号可作为独立的顶层容器使用。
身份概念映射
下表列出了两个平台身份实体概念的对应关系:
Microsoft Entra术语 | 阿里云 RAM 术语 | 实体类型 | 说明 |
人员身份 | RAM 用户是账号内的身份实体,不支持跨账号存在(不同于 Entra ID 的来宾用户)。 | ||
程序身份 | RAM 用户可创建 AccessKey 用于程序身份认证。AccessKey 的使用方式类似于服务主体的客户端密钥。 | ||
程序身份 | 工作负载无需管理长期凭证即可访问云资源。阿里云的对应功能基于 RAM 角色实现。 | ||
分组 | RAM用户组仅用于批量授权。 | ||
授予全局管理员 | 授予 | 管理员 | RAM超级管理员拥有该账号下所有资源(包括身份)的完全控制权限。Entra ID全局管理员只能管理身份,不能管理订阅, |
关键差异
人员身份设计差异:Entra ID 严格区分人员与程序身份,其用户是专为自然人(如内部员工、外部合作伙伴等)设计的独立实体类型。而阿里云的RAM 用户则是通用的身份载体,其本身不具备绝对的人员或程序属性,而是通过配置凭证来决定应用场景:配置控制台登录密码即作为人员身份使用,创建 AccessKey 即作为程序身份使用。
程序身份设计差异:Entra ID 的服务主体是专门为应用程序身份验证设计的实体类型,应用注册、企业应用程序、托管标识等功能均依赖服务主体实现。而阿里云没有专门针对程序的独立身份类型,RAM 用户和RAM角色均可被程序或服务使用:程序既可以使用 RAM 用户的 AccessKey 作为长期访问凭证,也可以通过临时扮演RAM角色,获取更安全的短期访问权限。
权限概念映射
下表列出了两个平台权限管理概念的对应关系:
Azure/Microsoft Entra术语 | 阿里云 RAM 术语 | 说明 |
定义可执行操作的权限集合。 | ||
将权限策略关联到身份实体。 | ||
由云服务商预定义的权限集合。 | ||
用户根据需求自行定义的权限集合。 | ||
基于条件的访问控制,如来源 IP 限制、MFA 要求等。 |
关键差异
角色与权限策略的语义差异
Azure/Microsoft Entra中的角色代表权限集合,是权限的载体而非身份。阿里云 RAM 中的角色是一种身份类型,需要被其他身份扮演并被授予权限策略后才能执行操作。Entra ID 中角色的概念对应于阿里云 RAM 中的权限策略。
权限策略作用范围差异
微软体系对权限进行了拆分:Entra RBAC 角色专门用于控制对Entra租户内资源(如用户、用户组、服务主体等)的访问;而针对云资源(如虚拟机、存储等)的控制则由 Azure RBAC 负责。相比之下,阿里云采用统一管理模式,RAM 权限策略的作用范围覆盖整个云账号下的所有服务与资源,
此外,在授权粒度上,RAM 权限策略提供了极高的灵活性,支持从宏观的服务级别、具体的操作级别,一直细化到最底层的资源级别(最精细)。说明各阿里云服务对权限管控粒度的支持情况有所差异。关于各云服务具体支持的授权粒度,请参见支持RAM的云服务。
场景指引
基于前述架构与概念差异,本部分针对身份认证、跨账号访问、日志审计、开发集成等常见场景,给出 Microsoft Entra 与阿里云之间的具体方案映射。
身份认证与应用集成
两个平台都提供多因素认证、企业单点登录及应用集成等能力,但在具体设计与实现上存在差异。
Microsoft Entra | 阿里云 | 应用场景 | 说明 |
管理用户/组 | 管理用户、用户组,如创建、删除、修改属性等。 | ||
多因素认证 | RAM支持虚拟 MFA(对应Entra的软件OATH令牌)、通行密钥、安全手机(对应Entra的SMS)、安全邮箱等多种方式。 | ||
身份联合 | 阿里云支持用户 SSO 和角色 SSO 两种模式与企业 IdP 集成。云 SSO 适用于资源目录多账号场景。 | ||
企业单点登录 | OAuth应用管理面向与阿里云服务集成的场景提供授权集成。阿里云IDaaS作为身份提供商(IdP),以独立的身份提供企业应用集成。 | ||
- | 账号同步 | 企业本地部署身份同步至云端。 | |
凭证令牌服务 | 阿里云STS服务用于在角色扮演场景下颁发临时安全凭证,OAuth 服务用于为 OIDC/OAuth 应用发放访问令牌。 |
关键差异
身份联合差异
Entra ID 既可作为身份提供商与企业或 SaaS 应用集成,提供统一认证;也能作为服务提供商(SP)信任并对接 ADFS 或其他第三方 IdP。相比之下,阿里云 RAM 主要用于扮演服务提供商(SP)的角色,用于信任并集成企业已有的 IdP。
令牌服务差异
Microsoft Entra与阿里云RAM在令牌下发架构上存在明显差异。Entra ID 采用统一的令牌分发服务,原生支持 OAuth 2.0 和 OIDC 协议,所有身份实体(用户、应用、服务主体等)均通过该单一入口获取 JWT 格式的访问令牌。而阿里云RAM则提供两个相对独立的令牌服务:
STS 服务:负责在角色扮演或角色 SSO 场景下,签发具备时效性的临时安全凭证(STS Token)。
OAuth 服务:用于为官方工具(如阿里云 CLI)及注册在RAM下的 OIDC/OAuth 应用颁发 JWT 格式的访问令牌。
跨账号/租户访问
两个平台都支持跨账号(在Entra ID中称为跨租户)的访问场景,但采用不同的实现机制。
Microsoft Entra | 阿里云 | 应用场景 | 说明 |
企业用户跨账号访问 | 阿里云主要通过扮演目标账号下的 RAM 角色实现。 | ||
企业应用程序跨账号访问 | Entra ID 支持将应用注册为多租户应用,阿里云通过 STS AssumeRole 获取临时凭证。 | ||
面向消费用户的应用访问 | RAM 不提供此功能,需使用阿里云 IDaaS CIAM。 |
关键差异
在 Entra ID 中,跨租户访问主要依赖 B2B 协作机制,目标租户需要将外部用户作为来宾邀请并写入本租户目录中,随后再为其分配应用或资源访问角色。
在阿里云中,跨账号访问以角色扮演为核心,无需在目标账号内创建任何实体身份。程序或用户可通过调用 STS 服务(如 AssumeRole、AssumeRoleWithSAML或AssumeRoleWithOIDC 接口)获取临时安全凭证,动态切换为目标账号下的 RAM 角色身份来访问资源。
除RAM角色扮演这种通用方案外,阿里云还提供基于资源的跨账号授权机制(如配置 OSS Bucket Policy 或使用资源共享)作为特定产品下的补充方案。
日志与审计
两个平台都提供完整的操作审计和日志记录能力。
Microsoft Entra | 阿里云 | 说明 |
均用于追踪控制台与 API 的操作。操作审计为阿里云下的独立服务,而非RAM的内置功能。 | ||
操作审计(登录事件) | 阿里云的控制台登录事件记录在操作审计日志中,不单独提供登录日志服务。 | |
均用于配置日志的长期存储和分析。 |
关键差异
日志分类维度: Entra ID 将登录日志与审核日志独立拆分,以便在安全溯源时快速区分认证行为与管理动作。相比之下,阿里云采用集中纳管模式,将控制台登录等身份认证事件统一汇聚至操作审计服务中。
审计范围映射: Entra ID 的审核日志仅聚焦于身份侧,专门记录租户内目录对象(如用户、群组、应用程序等)的操作;而针对云资源的操作,则交由Azure 活动日志记录。因此,在概念映射上,Entra ID 审核日志加上 Azure 活动日志的组合,对应阿里云的操作审计(后者同时涵盖了 RAM 身份操作与全局云资源操作)。
开发与SDK
两个平台都提供开发与 SDK 支持。
Microsoft Entra | 阿里云RAM | 应用场景 | 说明 |
OAuth/OIDC应用集成 | 均可用于构建 OAuth/OIDC 应用并与云认证平台集成。 | ||
API调用 | 均提供对身份实体(如用户、用户组)、应用程序接入及权限策略分配的全生命周期管理能力。 | ||
身份认证 SDK | 阿里云SDK下的 Credentials 模块提供凭证管理功能,两者均支持凭据链。 | ||
- | 认证库 | MSAL 等认证库可帮助开发者将应用集成到 Microsoft Identity Platform。阿里云无直接对应的认证库,需使用第三方 OAuth/OIDC 库。 |
阿里云 OpenAPI 目前仅部分接口支持使用访问令牌(Bearer Token)调用,具体请参见凭据。Azure REST API 和 Microsoft Graph 的所有接口均使用 Entra Token Service 颁发的访问令牌进行调用。
关键差异
API 架构设计差异:Microsoft Entra采用全局统一入口设计,所有针对身份、应用与权限策略的调用均通过 Microsoft Graph API 这一单一网关完成。而阿里云RAM采用按功能模块划分的设计,使用以下三个独立的API端点以应对不同场景:
IMS(身份管理服务): 主要负责身份实体(如用户、用户组)的生命周期管理、单点登录配置与以及OAuth应用的管理。
RAM(访问控制服务): 主要用于权限策略管理与授权配置。
STS(安全令牌服务): 主要用于角色扮演及临时安全凭证的颁发。