You need to enable JavaScript to run this app.
导航

产品概述

最近更新时间2023.12.04 10:53:33

首次发布时间2023.04.26 15:12:05

产品概述

云身份中心(Cloud Identity)是链接外部身份和火山引擎云上身份的统一管理平台。使用云身份中心,您可以统一管理您的企业员工登录火山引擎的方式、一键同步员工身份至火山引擎,并可以基于企业组织的多账号管理,一次性配置企业身份管理系统到火山引擎多账号下的单点登录、及时对企业员工“入离转调”产生的访问权限变动进行管理和同步。

基本概念

概念说明
云身份中心实例使用云身份中心需要创建一个服务的实例,所有云身份中心内的资源会维护在创建的实例中。只有企业组织的管理员账号才能创建云身份中心实例,且仅能创建一个实例。
用户指云身份中心用户,与企业员工身份一一映射。云身份中心用户是火山引擎的一种身份类型,可与某个账号下的IAM用户身份进行唯一关联并单点登录。云身份中心提供企业员工身份全生命周期管理、权限管理能力,推荐您在本产品内统一管理员工身份。
身份源您的企业身份管理系统中的用户数据即为身份源,云身份中心支持从您的企业身份管理系统同步员工身份至火山引擎。
用户同步云身份中心支持基于预集成的身份源进行用户同步,包括用户身份信息、身份源的用户ID等,同时支持全量同步和增量同步。
通讯录授权范围在从身份源同步企业员工身份的过程中,需要您对火山引擎能够访问的企业员工通讯录范围进行授权,在通讯录授权范围之外的企业员工信息不会被同步至火山引擎。
企业组织企业组织是火山引擎面向企业客户提供的多账号管理服务,请参考:企业组织

账号

即企业组织内的账号。包括以下两类账号:

  • 管理员账号:企业管理账号是开通企业组织的账号,对组织内的成员账号拥有超级管理员权限。只有管理员账号才能开通并使用云身份中心,其余账号可以基于管理员账号的配置进行SSO登录。
  • 成员账号:在企业组织内,成员账号是被管理员账号创建或邀请进入企业组织进行统一管理的账号,也是一个火山引擎主账号,独立为一个资源租户,与其他账号间数据和资源隔离。
多账号访问管理基于企业组织的多账号结构,您可以授权云身份中心的用户访问到企业组织中的各个账号(包括管理员账号和成员账号)。

授权任务

授权一个云身份中心用户访问到企业组织中的一个账号,对应产生一条授权任务。

  • 用户SSO:是授权任务的一种,将在待访问的账号内创建用户SSO类型的身份供应商,并在账号下同步创建云身份中心用户对应的IAM用户。在SSO过程中,您的企业员工将单点登录到待访问账号的对应IAM用户上。

应用场景

当您的企业有多个员工需要访问火山引擎云资源,尤其当您有多个火山引擎账号时,企业有如下的需求场景:

  • 企业员工的身份同步创建到火山引擎,维护云上身份;
  • 授权企业员工访问云资源的权限,配置SSO规则并维护员工入离转调产生的权限变动。

在此类场景下推荐使用云身份中心完成企业身份到云上身份的链接。

特别说明

1.使用规则

请注意,使用云身份中心的前提条件是:

  1. 已经完成账号的企业实名认证。去完成实名认证
  2. 已经开通企业组织。去开通企业组织
  3. 必须为企业组织的管理员账号。

一个企业组织的管理员账号,目前可以开通一个云身份中心实例。

2.云身份中心与访问控制(IAM)的关系

云身份中心和IAM均为火山引擎提供的管理访问权限的工具:

  • 访问控制负责配置单个火山引擎账号内的IAM用户和IAM角色的资源访问权限。如果使用访问控制配置单点登录,需要给每个账号都完成下图的配置流程;
  • 云身份中心基于访问配置提供的基础能力,负责配置跨账号的资源访问权限,并提供同步员工身份到火山引擎的能力。使用云身份中心配置单点登录,可以实现单次配置即可完成多账号的SSO。