导航
产品概述
最近更新时间:2024.08.09 14:06:46首次发布时间:2023.04.26 15:12:05
产品概述
云身份中心(Cloud Identity)是链接外部身份和火山引擎云上身份的统一管理平台。使用云身份中心,您可以统一管理您的企业员工登录火山引擎的方式、一键同步员工身份至火山引擎,并可以基于企业组织的多账号管理,一次性配置企业身份管理系统到火山引擎多账号下的单点登录、及时对企业员工“入离转调”产生的访问权限变动进行管理和同步。
基本概念
| 概念 | 说明 |
|---|---|
| 云身份中心实例 | 使用云身份中心需要创建一个服务的实例,所有云身份中心内的资源会维护在创建的实例中。只有企业组织的管理员账号才能创建云身份中心实例,且仅能创建一个实例。 |
| 用户 | 指云身份中心用户,与企业员工身份一一映射。云身份中心用户是火山引擎的一种身份类型,可与某个账号下的IAM用户身份进行唯一关联并单点登录。云身份中心提供企业员工身份全生命周期管理、权限管理能力,推荐您在本产品内统一管理员工身份。 |
| 身份源 | 您的企业身份管理系统中的用户数据即为身份源,云身份中心支持从您的企业身份管理系统同步员工身份至火山引擎。 |
| 用户同步 | 云身份中心支持基于预集成的身份源进行用户同步,包括用户身份信息、身份源的用户ID等,同时支持全量同步和增量同步。 |
| 通讯录授权范围 | 在从身份源同步企业员工身份的过程中,需要您对火山引擎能够访问的企业员工通讯录范围进行授权,在通讯录授权范围之外的企业员工信息不会被同步至火山引擎。 |
| 企业组织 | 企业组织是火山引擎面向企业客户提供的多账号管理服务,请参考:企业组织。 |
账号 | 即企业组织内的账号。包括以下两类账号:
|
| 多账号访问管理 | 基于企业组织的多账号结构,您可以授权云身份中心的用户访问到企业组织中的各个账号(包括管理员账号和成员账号)。 |
| 访问权限集 | 在云身份中心管理的权限模版,描述云身份中心访问火山引擎后的权限范围。在云身份中心集中管理,在执行授权过程中,权限内容会同步到账号上。 |
访问授权 | 授权一个云身份中心用户访问到企业组织中的一个账号,对应产生一条访问授权任务。
|
| 登录门户 | 云身份中心提供企业独立的登录门户,该门户可由企业客户自定义域名,支持与企业内身份系统的单点登录,以及员工最终登录到火山引擎的身份映射、权限管控等能力。 |
应用场景
当您的企业有多个员工需要访问火山引擎云资源,尤其当您有多个火山引擎账号时,企业有如下的需求场景:
- 企业员工的身份同步创建到火山引擎,维护云上身份;
- 授权企业员工访问云资源的权限,配置SSO规则并维护员工入离转调产生的权限变动。
在此类场景下推荐使用云身份中心完成企业身份到云上身份的链接。
特别说明
1.使用规则
请注意,使用云身份中心的前提条件是:
一个企业组织的管理员账号,目前可以开通一个云身份中心实例。
2.云身份中心与访问控制(IAM)的关系
云身份中心和IAM均为火山引擎提供的管理访问权限的工具:
- 访问控制负责配置单个火山引擎账号内的IAM用户和IAM角色的资源访问权限。如果使用访问控制配置单点登录,需要给每个账号都完成下图的配置流程;
- 云身份中心基于访问配置提供的基础能力,负责配置跨账号的资源访问权限,并提供同步员工身份到火山引擎的能力。使用云身份中心配置单点登录,可以实现单次配置即可完成多账号的SSO。
