You need to enable JavaScript to run this app.
导航

配置用户访问权限

最近更新时间2023.12.08 14:33:02

首次发布时间2023.04.26 15:12:05

操作场景

当您创建好云身份中心用户后,需要授予用户访问到各账号的登录访问权限。

前提条件

  1. 已经创建云身份中心用户去设置用户同步
  2. 操作身份必须为企业组织的管理员账号身份,可以为根用户或有权限的IAM子用户。

操作步骤

本文使用以下场景为例:

企业员工小山,需要访问企业组织内的两个火山引擎账号(WorkLoad 和 SandBox),即在对应账号内分别创建一个IAM用户,并通过企业飞书SSO登录到对应账号下的IAM用户上,进行相关业务操作。

  1. 使用企业组织的管理员账号下有权限的IAM子用户登录火山引擎控制台,进入多账号访问管理页面。页面左侧展示了企业组织内全部节点,选择其中WorkLoad 和 SandBox所在的节点,点击选择WorkLoad 和 SandBox两个账号,勾选后点击列表下方配置用户SSO

  2. 在弹窗中指定授权对象,此处需要指定授予SSO权限的云身份中心用户。在本示例中企业员工小山在云身份中心中的用户名为XiaoShan,在此处选择XiaoShan,点击下一步。若您找不到XiaoShan,可以借助小山所在的部门进行搜索。

  3. 在本步骤中进行同步规则配置。用户SSO通过在相应账号上同步创建相同用户名的IAM用户来实现,该过程中会帮助您的IAM用户自动配置好相应SSO方式。在创建IAM用户并配置SSO方式时,如果遇到IAM用户名重复或企业员工离职等情况,需要基于本步骤中配置好的规则进行处理。

规则策略名策略说明场景举例
用户名冲突策略当发现目标账号有同名IAM用户时,可以选择新创建IAM用户并替换原IAM用户,或同时保留两个用户并为新IAM用户指定一个用户名名称后缀,或不新建也不替换、仅绑定当前产生冲突的IAM用户。详情请参考:授权用户SSO时,用户名冲突策略如何运作?例如XiaoShan已经在账号WorkLoad中创建过IAM用户并命名为XiaoShan,可以选择替换创建一个新的IAM用户命名为XiaoShan,或新建IAM用户并命名为XiaoShan-sso也可以选择绑定冲突用户,IAM用户XiaoShan将会和云身份中心用户XiaoShan关联,受到XiaoShan的入职和离职影响。
删除策略当已配置的用户SSO被删除时,基于删除策略可以选择保留或删除账号下已同步的用户。保留已经同步的用户代表企业员工仍可能登录至相应的账号,删除则代表无法继续登录。本策略的涉及场景包括:
- 企业身份源员工因离职、调任等发生了权限变动,云身份中心用户自动同步变动进行用户删除等操作时,用户SSO任务同时删除;
- 云身份中心用户被移出用户组,关联的用户访问授权被影响。
- 您在云身份中心查看每个账号的授权详情时对已经配置的用户SSO任务进行手动删除。
例如小山离职,云身份中心开启了飞书的增量同步,云身份中心用户XiaoShan被自动删除,此时可以选择自动删除或自动保留WorkLoad和SandBox两个账号下的IAM用户:若删除,小山即无登录对应账号的权限;若保留,则通过为IAM用户设置其他的登录方式,相关IAM用户仍可被登录和使用。
身份源冲突策略当目标账号下已经存在与当前身份源(此处为企业飞书)的员工身份绑定的IAM用户时,可以选择在同步用户时新建一个用户,或忽略本次同步任务,或绑定冲突用户。详情请参考:授权用户SSO时,身份源冲突策略如何运作?例如XiaoShan此前已经在账号WorkLoad上的IAM用户User1绑定了飞书登录方式,绑定的飞书身份为小山的企业飞书,此时可以选择同步创建一个IAM用户XiaoShan并绑定小山的企业飞书进行SSO登录,后续小山登录火山引擎时,可以选择通过User1或XiaoShan两个IAM用户其一来登录账号WorkLoad;也可以选择忽略本次同步任务,即不执行重新创建IAM用户并配置SSO登录方式,继续让小山使用飞书登录到User1身份;也可以选择绑定冲突用户,IAM用户User1将会和云身份中心用户XiaoShan关联,受到XiaoShan的入职和离职影响。

规则配置时支持输入本次用户SSO配置的描述,同时支持选择您的规则配置模式:针对本次SSO的全部账号批量配置规则,或者分别针对不同账号按账号配置规则。

配置完成后点击下一步。

  1. 在下一步中可以查看本次完成的配置详情:每个待授权的用户会按照您指定的同步规则授予每个待访问的账号的SSO访问权限。如您确定配置无误,点击开始配置,即可进行IAM用户同步创建和SSO配置。您可以在界面中查看每个配置任务的进行进度和结果。

下一步操作

企业员工授权访问多个账号后,即可前往查看账号授权详情
如您需要处理失败的异常情况,可以前往授权任务管理

常见问题

如何保证离职员工不再有登录火山引擎账号的权限?

请参考常见问题