You need to enable JavaScript to run this app.
导航
基于用户组配置用户访问权限
最近更新时间:2023.12.08 14:33:02首次发布时间:2023.12.08 10:15:42

操作场景

当您创建好云身份中心用户组后,可以选择基于用户组批量授予企业用户访问到各账号的权限。

前提条件

  1. 已经创建云身份中心用户组用户组管理
  2. 操作身份必须为企业组织的管理员账号身份,可以为根用户或有权限的IAM子用户。

操作步骤

本文使用以下场景为例:

企业内的IT运维部门下的员工,均需要以IAM用户的身份访问企业组织内的火山引擎账号(WorkLoad),即在对应账号内分别创建一个IAM用户,并登录到对应账号下的IAM用户上,完成运维相关业务操作。

说明

前序步骤已完成:运维部门员工已经都在用户组IT_maintenance中。

  1. 使用企业组织的管理员账号下有权限的IAM子用户登录火山引擎控制台,进入多账号访问管理页面。页面左侧展示了企业组织内全部节点,选择其中WorkLoad 所在的节点,点击选择WorkLoad账号,勾选后点击列表下方配置用户SSO

  2. 在弹窗中指定授权对象。在本示例中授权对象为用户组,点击用户tab,找到IT_maintenance用户组并勾选。点击下一步。

  3. 在本步骤中进行同步规则配置。用户访问权限的授予通过在相应账号上同步创建相同用户名的IAM用户来实现。在创建过程中,如果遇到IAM用户名重复或企业员工离职等情况,需要基于本步骤中配置好的规则进行处理。

规则策略名策略说明场景举例
用户名冲突策略当发现目标账号有本用户组组内同名IAM用户时,可以选择新创建IAM用户并替换原IAM用户,或同时保留两个用户并为新IAM用户指定一个用户名名称后缀,或不新建也不替换、仅绑定当前产生冲突的IAM用户。详情请参考:授权用户SSO时,用户名冲突策略如何运作?例如企业员工XiaoShan已经在账号WorkLoad中创建过IAM用户并命名为XiaoShan,可以选择替换创建一个新的IAM用户命名为XiaoShan,或新建IAM用户并命名为XiaoShan-sso;也可以选择绑定冲突用户,IAM用户XiaoShan将会和云身份中心用户XiaoShan关联,受到XiaoShan的入职和离职影响。
删除策略当已配置的用户SSO被删除时,基于删除策略可以选择保留或删除账号下已同步的用户。保留已经同步的用户代表企业员工仍可能登录至相应的账号,删除则代表无法继续登录。本策略的涉及场景包括:
- 企业身份源员工因离职、调任等发生了权限变动,云身份中心用户自动同步变动进行用户删除等操作时,用户SSO任务同时删除;
- 云身份中心用户被移出用户组,关联的用户访问授权被影响。
- 您在云身份中心查看每个账号的授权详情时对已经配置的用户SSO任务进行手动删除。
在本示例中,例如企业员工小山离开IT运维部门,对应的,云身份中心用户XiaoShan被移除出IT_maintenance用户组。此时若XiaoShan没有到账号WorkLoad的其他访问授权,则账号WorkLoad下的IAM用户XiaoShan将根据本次操作配置的删除策略进行保留或删除:若删除,IAM用户被删除,小山也即无登录对应账号的权限;若保留,则通过为IAM用户设置其他的登录方式,相关IAM用户仍可被登录和使用。
身份源冲突策略当目标账号下已经存在与当前身份源(例如企业飞书)的员工身份绑定的IAM用户时,可以选择在同步用户时新建一个用户,或忽略本次同步任务,或绑定冲突用户。详情请参考:授权用户SSO时,身份源冲突策略如何运作?例如XiaoShan此前已经在账号WorkLoad上的IAM用户User1绑定了飞书登录方式,绑定的飞书身份为小山的企业飞书,则本次任务配置时可以选择同步创建一个IAM用户XiaoShan并绑定小山的企业飞书进行登录,后续小山登录火山引擎时,可以选择通过User1或XiaoShan两个IAM用户其一来登录账号WorkLoad;也可以选择忽略本次同步任务,即不执行重新创建IAM用户并配置SSO登录方式,继续让小山使用飞书登录到User1身份;也可以选择绑定冲突用户,IAM用户User1将会和云身份中心用户XiaoShan关联,受到XiaoShan的入职和离职影响。

规则配置时支持输入本次用户SSO配置的描述,同时支持选择您的规则配置模式:针对本次SSO的全部账号批量配置规则,或者分别针对不同账号按账号配置规则。

配置完成后点击下一步。

  1. 在下一步中可以查看本次完成的配置详情:每个待授权的用户会按照您指定的同步规则授予每个待访问的账号的SSO访问权限。如您确定配置无误,点击开始配置,即可进行IAM用户同步创建和SSO配置。您可以在界面中查看每个配置任务的进行进度和结果。

下一步操作

企业员工授权访问多个账号后,即可前往查看账号授权详情
如您需要处理失败的异常情况,可以前往授权任务管理

常见问题

如果云身份中心用户与某账号之间配置了多条访问授权任务,删除策略如何执行?

请参考常见问题

如果云身份中心用户与某账号之间配置了多条访问授权任务,身份源冲突策略和用户名冲突策略如何执行?

请参考常见问题