身份源指云身份中心的身份源,也指火山引擎账号下子用户对应绑定的外部身份。
例如:
- 当您在云身份中心使用飞书作为外部身份源进行企业用户同步后,每一个云身份中心用户均会记录其与飞书用户的一一对应关系,作为该云身份中心用户的身份源。
- 在火山引擎-访问控制中,您同样可以为账号下的IAM子用户绑定飞书登录方式,绑定后对应的IAM子用户也会记录下其与飞书用户的一一对应关系,作为该IAM子用户的身份源。
当您在进行用户SSO授权时,云身份中心会建立对应账号下IAM子用户和云身份中心用户的绑定关系。如果当前账号下已经存在对应飞书用户绑定过的IAM子用户,您可以通过“身份源冲突策略”指定此时云身份中心执行的操作。
请注意,身份源冲突策略优先于用户名冲突策略,云身份中心按照身份源冲突策略执行后会按照用户名冲突策略进行后续工作的执行。
身份源冲突策略共三种,分别为:忽略、新建和绑定冲突用户。
身份源冲突策略 | 是否新建IAM子用户 | 是否删除原冲突IAM子用户 | 对应IAM子用户是否建立SSO登录方式 | 对应IAM子用户是否按删除策略进行删除或保留 | ||
|---|---|---|---|---|---|---|
| 原冲突IAM子用户 | 新建的IAM子用户 | 原冲突IAM子用户 | 新建的IAM子用户 | |||
| 忽略 | 不新建 | 否 | 不建立 | - | 否 | - |
| 新建 | 新建 | 否 | 不建立 | 建立 | 否 | 是 |
| 绑定冲突用户 | 不新建 | 否 | 建立 | - | 是 | - |
选择忽略,则当识别到目标账号下存在一个绑定了同样飞书用户登录方式的IAM子用户后,云身份中心不会做任何操作,但会记录下本次用户SSO授权任务。
账号下产生身份源冲突的IAM子用户也不会按照删除策略被保留或删除。即:不会随着云身份中心用户进行企业用户入离转调同步。
选择新建,则当识别到目标账号下存在一个绑定了同样飞书用户登录方式的IAM子用户后,云身份中心会为您新创建一个IAM子用户。后续过程中会按照用户名冲突策略处理新建IAM子用户的工作。
新建完成后,云身份中心用户绑定了新建的IAM子用户,为其绑定了登录方式。同时如果云身份中心用户被删除,对应的IAM子用户将会按照删除策略被保留或删除。即:当您的企业身份源支持入离转调同步时,该策略建立的IAM子用户将会被同步。
选择绑定冲突用户,则当识别到目标账号下存在一个绑定了同样飞书用户登录方式的IAM子用户后,云身份中心会将该IAM子用户绑定在当前授权任务上。如果云身份中心用户被删除,该IAM子用户将会按照删除策略被保留或删除。即:当您的企业身份源支持入离转调同步时,该IAM子用户将会被同步。
具体绑定逻辑如下:
若仅一个IAM子用户被命中身份源冲突:本条授权任务直接绑定该IAM子用户。
若多个IAM子用户被命中,且若有IAM子用户名与云身份中心用户名相同的子用户:本条授权任务绑定该IAM子用户。
若多个IAM子用户被命中,且若无IAM子用户名与云身份中心用户名相同的子用户:本条授权任务不绑定任何IAM子用户。即后续入离转调的同步中,删除策略不会影响任何一个IAM子用户。