阿里云RAM (Resource Access Management)为客户提供身份与访问控制管理服务。使用RAM，可以轻松创建并管理您的用户（比如雇员、企业开发的应用程序），并控制用户对云资源的访问权限。

对云资源的信息安全保护与风险控制能力是企业成功上云的关键。RAM支持在多种云原生应用场景下，为客户提供丰富的访问控制安全机制，赋能企业在DevOps、计算环境、应用程序、数据访问等全栈系统统一实施“最小权限原则”，降低云资源的攻击平面，有效控制企业上云的信息安全风险。

RAM目前已经为数十万企业客户提供了身份安全与访问管理服务，它基于ABAC (Attribute based access control) 安全模型为客户提供对云资源的细粒度访问控制能力，并支持如下丰富的云原生应用场景：
• 用户管理与资源授权
• 跨云账号的资源授权
• 跨云服务的资源授权
• 针对移动设备应用程序的临时访问授权
• 部署在云上的应用程序的动态身份管理与资源授权

日前，RAM发布了针对单点登录SSO (single sign-on)这一新场景的支持 —— 使用企业自有账号登录阿里云。

SSO场景介绍
假如您的企业有在本地部署域账号系统（比如部署了Microsoft AD 以及 AD FS 服务），由于企业安全管理与合规要求，所有人员对任何资源（包括云资源）进行操作时都必须经过企业域账号系统的统一身份认证，禁止任何人员使用独立用户账号和密码直接操作云资源。为了满足安全与合规要求，您需要云服务商能提供这种安全能力。

阿里云RAM支持企业级 IdPs (identity providers) 广泛使用的SAML 2.0 (Security Assertion Markup Language 2.0) 身份联合标准。通过在云账号下开启RAM用户联合登录，您就可以使用企业内部账号登录到阿里云。

SAML 联合登录的基本思路
阿里云与外部企业身份系统的集成场景中，阿里云是服务提供商（SP），而企业自有的身份服务则是身份提供商（IdP）。图1描述了在这一解决方案中，企业员工通过企业自有账号系统登录到阿里云控制台的基本流程。

（图1：使用企业自有账号登录阿里云控制台的基本流程）

当管理员在完成 SAML 联合登录的配置后，企业员工可以通过如图所示的方法登录到阿里云控制台：
1、企业员工使用浏览器登录阿里云，阿里云将 SAML 认证请求返回给浏览器；
2、浏览器向企业 IdP 转发 SAML 认证请求；
3、企业 IdP 提示用户登录，并且在用户登录成功后生成 SAML 响应返回给浏览器；
4、浏览器将 SAML 响应转发给阿里云；
5、阿里云通过 SAML 互信配置，验证 SAML 响应的数字签名以验证 SAML 断言的真伪，并通过 SAML 断言的用户名称，匹配到对应云账号中的 RAM 用户身份；
6、登录服务完成认证，向浏览器返回登录 session 以及阿里云控制台的 URL；
7、浏览器重定向到阿里云控制台。

说明：在第 1 步中，企业员工从阿里云发起登录并不是必须的。企业员工也可以在企业自有 IdP 的登录页直接点击登录到阿里云的链接，向企业 IdP 发出登录到阿里云的 SAML 认证请求。

关于SAML联合登录的工作原理与配置方法，请详细参考RAM在线文档 - SSO联合登录。

单个云账号的SSO管理
假设您的企业只有一个云账号（旗下有虚拟机、网络、数据库或存储等资源，并管理RAM用户及权限），那么建议的SSO方案模型如图2所示。

（图2: 云上企业单账号管理与SSO模型）

思路：将该账号当做SP与企业本地IdP直接进行身份联合，并通过RAM来控制台用户对云资源的访问权限。

多个云账号的SSO管理
假设您的企业已经有两个云账号（记为Workload Account，即云账号下有虚拟机、网络、数据库或存储等资源），那么建议的SSO访问模型如图3所示。

（图3: 云上企业多账号管理与SSO模型）

思路：先创建一个独立云账号（记为Identity Account，即云账号下只创建 RAM 用户），将该账号当做SP与企业本地IdP进行身份联合。然后利用阿里云 RAM 提供的跨账号RAM角色的授权访问能力进行跨账号访问其他云账号资源。

 

原文链接
本文为云栖社区原创内容，未经允许不得转载。