当您创建好云身份中心用户后,需要授予用户访问到各账号的登录访问权限。
本文使用以下场景为例:
企业员工小山,需要访问企业组织内的两个火山引擎账号(WorkLoad 和 SandBox),即在对应账号内分别创建一个IAM用户,并通过企业飞书SSO登录到对应账号下的IAM用户上,进行相关业务操作。
使用企业组织的管理员账号下有权限的IAM子用户登录火山引擎控制台,进入多账号访问管理页面。页面左侧展示了企业组织内全部节点,选择其中WorkLoad 和 SandBox所在的节点,点击选择WorkLoad 和 SandBox两个账号,勾选后点击列表下方配置用户SSO。
在弹窗中指定授权对象,此处需要指定授予SSO权限的云身份中心用户。在本示例中企业员工小山在云身份中心中的用户名为XiaoShan,在此处选择XiaoShan,点击下一步。若您找不到XiaoShan,可以借助小山所在的部门进行搜索。
在本步骤中进行同步规则配置。用户SSO通过在相应账号上同步创建相同用户名的IAM用户来实现,该过程中会帮助您的IAM用户自动配置好相应SSO方式。在创建IAM用户并配置SSO方式时,如果遇到IAM用户名重复或企业员工离职等情况,需要基于本步骤中配置好的规则进行处理。
| 规则策略名 | 策略说明 | 场景举例 |
|---|---|---|
| 用户名冲突策略 | 当发现目标账号有同名IAM用户时,可以选择新创建IAM用户并替换原IAM用户,或同时保留两个用户并为新IAM用户指定一个用户名名称后缀,或不新建也不替换、仅绑定当前产生冲突的IAM用户。详情请参考:授权用户SSO时,用户名冲突策略如何运作? | 例如XiaoShan已经在账号WorkLoad中创建过IAM用户并命名为XiaoShan,可以选择替换创建一个新的IAM用户命名为XiaoShan,或新建IAM用户并命名为XiaoShan-sso也可以选择绑定冲突用户,IAM用户XiaoShan将会和云身份中心用户XiaoShan关联,受到XiaoShan的入职和离职影响。 |
| 删除策略 | 当已配置的用户SSO被删除时,基于删除策略可以选择保留或删除账号下已同步的用户。保留已经同步的用户代表企业员工仍可能登录至相应的账号,删除则代表无法继续登录。本策略的涉及场景包括: - 企业身份源员工因离职、调任等发生了权限变动,云身份中心用户自动同步变动进行用户删除等操作时,用户SSO任务同时删除; - 云身份中心用户被移出用户组,关联的用户访问授权被影响。 - 您在云身份中心查看每个账号的授权详情时对已经配置的用户SSO任务进行手动删除。 | 例如小山离职,云身份中心开启了飞书的增量同步,云身份中心用户XiaoShan被自动删除,此时可以选择自动删除或自动保留WorkLoad和SandBox两个账号下的IAM用户:若删除,小山即无登录对应账号的权限;若保留,则通过为IAM用户设置其他的登录方式,相关IAM用户仍可被登录和使用。 |
| 身份源冲突策略 | 当目标账号下已经存在与当前身份源(此处为企业飞书)的员工身份绑定的IAM用户时,可以选择在同步用户时新建一个用户,或忽略本次同步任务,或绑定冲突用户。详情请参考:授权用户SSO时,身份源冲突策略如何运作? | 例如XiaoShan此前已经在账号WorkLoad上的IAM用户User1绑定了飞书登录方式,绑定的飞书身份为小山的企业飞书,此时可以选择同步创建一个IAM用户XiaoShan并绑定小山的企业飞书进行SSO登录,后续小山登录火山引擎时,可以选择通过User1或XiaoShan两个IAM用户其一来登录账号WorkLoad;也可以选择忽略本次同步任务,即不执行重新创建IAM用户并配置SSO登录方式,继续让小山使用飞书登录到User1身份;也可以选择绑定冲突用户,IAM用户User1将会和云身份中心用户XiaoShan关联,受到XiaoShan的入职和离职影响。 |
规则配置时支持输入本次用户SSO配置的描述,同时支持选择您的规则配置模式:针对本次SSO的全部账号批量配置规则,或者分别针对不同账号按账号配置规则。
配置完成后点击下一步。
企业员工授权访问多个账号后,如需指定某员工为账号管理员,可以在配置结果页面点击“设为管理员”,或可在用户访问授权中授予管理员权限,即可为对应账号下的IAM用户赋予AdministratorAccess系统预设策略,将账号下精细授权的工作下放给对应用户。
企业员工授权访问多个账号后,即可前往查看账号授权详情。
如您需要处理失败的异常情况,可以前往授权任务管理。
确定授权完毕后,您可以向企业员工下发云身份中心门户地址,员工可以使用该地址登录到有权访问的火山引擎账号。
请参考常见问题。