最近更新时间:2023.12.08 14:33:02
首次发布时间:2023.12.08 10:15:42
当您创建好云身份中心用户组后,可以选择基于用户组批量授予企业用户访问到各账号的权限。
本文使用以下场景为例:
企业内的IT运维部门下的员工,均需要以IAM用户的身份访问企业组织内的火山引擎账号(WorkLoad),即在对应账号内分别创建一个IAM用户,并登录到对应账号下的IAM用户上,完成运维相关业务操作。
说明
前序步骤已完成:运维部门员工已经都在用户组IT_maintenance中。
使用企业组织的管理员账号下有权限的IAM子用户登录火山引擎控制台,进入多账号访问管理页面。页面左侧展示了企业组织内全部节点,选择其中WorkLoad 所在的节点,点击选择WorkLoad账号,勾选后点击列表下方配置用户SSO。
在弹窗中指定授权对象。在本示例中授权对象为用户组,点击用户tab,找到IT_maintenance用户组并勾选。点击下一步。
在本步骤中进行同步规则配置。用户访问权限的授予通过在相应账号上同步创建相同用户名的IAM用户来实现。在创建过程中,如果遇到IAM用户名重复或企业员工离职等情况,需要基于本步骤中配置好的规则进行处理。
| 规则策略名 | 策略说明 | 场景举例 |
|---|---|---|
| 用户名冲突策略 | 当发现目标账号有本用户组组内同名IAM用户时,可以选择新创建IAM用户并替换原IAM用户,或同时保留两个用户并为新IAM用户指定一个用户名名称后缀,或不新建也不替换、仅绑定当前产生冲突的IAM用户。详情请参考:授权用户SSO时,用户名冲突策略如何运作? | 例如企业员工XiaoShan已经在账号WorkLoad中创建过IAM用户并命名为XiaoShan,可以选择替换创建一个新的IAM用户命名为XiaoShan,或新建IAM用户并命名为XiaoShan-sso;也可以选择绑定冲突用户,IAM用户XiaoShan将会和云身份中心用户XiaoShan关联,受到XiaoShan的入职和离职影响。 |
| 删除策略 | 当已配置的用户SSO被删除时,基于删除策略可以选择保留或删除账号下已同步的用户。保留已经同步的用户代表企业员工仍可能登录至相应的账号,删除则代表无法继续登录。本策略的涉及场景包括: - 企业身份源员工因离职、调任等发生了权限变动,云身份中心用户自动同步变动进行用户删除等操作时,用户SSO任务同时删除; - 云身份中心用户被移出用户组,关联的用户访问授权被影响。 - 您在云身份中心查看每个账号的授权详情时对已经配置的用户SSO任务进行手动删除。 | 在本示例中,例如企业员工小山离开IT运维部门,对应的,云身份中心用户XiaoShan被移除出IT_maintenance用户组。此时若XiaoShan没有到账号WorkLoad的其他访问授权,则账号WorkLoad下的IAM用户XiaoShan将根据本次操作配置的删除策略进行保留或删除:若删除,IAM用户被删除,小山也即无登录对应账号的权限;若保留,则通过为IAM用户设置其他的登录方式,相关IAM用户仍可被登录和使用。 |
| 身份源冲突策略 | 当目标账号下已经存在与当前身份源(例如企业飞书)的员工身份绑定的IAM用户时,可以选择在同步用户时新建一个用户,或忽略本次同步任务,或绑定冲突用户。详情请参考:授权用户SSO时,身份源冲突策略如何运作? | 例如XiaoShan此前已经在账号WorkLoad上的IAM用户User1绑定了飞书登录方式,绑定的飞书身份为小山的企业飞书,则本次任务配置时可以选择同步创建一个IAM用户XiaoShan并绑定小山的企业飞书进行登录,后续小山登录火山引擎时,可以选择通过User1或XiaoShan两个IAM用户其一来登录账号WorkLoad;也可以选择忽略本次同步任务,即不执行重新创建IAM用户并配置SSO登录方式,继续让小山使用飞书登录到User1身份;也可以选择绑定冲突用户,IAM用户User1将会和云身份中心用户XiaoShan关联,受到XiaoShan的入职和离职影响。 |
规则配置时支持输入本次用户SSO配置的描述,同时支持选择您的规则配置模式:针对本次SSO的全部账号批量配置规则,或者分别针对不同账号按账号配置规则。
配置完成后点击下一步。
企业员工授权访问多个账号后,即可前往查看账号授权详情。
如您需要处理失败的异常情况,可以前往授权任务管理。
请参考常见问题。
请参考常见问题。