本文提供一个示例,为身份中心的用户(user1)在成员账号(member_1)上部署权限配置 CVM-test,该权限配置定义了 CVM 相关的访问权限,实现身份中心的用户(user1)仅能访问成员账号(member_1)中的 CVM 资源。
操作步骤
步骤一:企业员工录入
将企业员工录入身份中心的用户管理中,目前仅支持手动创建,即新建身份中心用户。
1. 进入集团账号管理 > 身份中心。
2. 在左侧导航栏,选择用户管理 > 用户。
3. 在新建用户面板,设置用户基本信息。
用户名:必选,在空间内必须唯一。用户名可包含英文字母、数字和+=,.@-_字符,最大长度 64 个字符。此处配置 user1。
备注、姓、名、邮箱:可选,您可以按需输入。
4. 单击确定,创建成功。
步骤二:配置权限
配置 CAM 角色同步前,需要先配置权限,权限部署到成员账号后,对应成员账号会自动生成一个 CAM 角色,角色的命名方式为 TencentCloudSSO-权限名称。
1. 在左侧导航栏,单击 CAM 同步 > 权限配置。
2. 在权限配置页面,单击新建权限配置。
3. 在新建权限配置页面,配置以下基本信息,然后单击下一步。
权限名称:必选参数。在空间内必须唯一。此处配置 CVM-test。
权限描述:可选参数。权限配置的描述信息。
4. 配置关联策略,按需勾选预设策略。此处勾选 CVM 相关资源只读访问权限的预设策略。
5. 单击确定,创建成功。
步骤三:配置 CAM 角色同步
1. 左侧导航栏,单击 CAM 同步 > 多账号授权管理。
2. 在多账号授权管理页面,选择目标账号。
说明:
本示例中,选择成员账号(menber_1)。
3. 单击配置 CAM 角色同步。
4. 在配置 CAM 角色同步页面,选择目标用户或用户组,单击下一步。
说明:
本示例中,选择用户(user1)。
5. 选择目标权限配置,单击下一步。
说明:
本示例中,选择(CVM-test)。
6. 浏览配置信息,然后单击提交。
7. 等待配置,配置成功后,单击完成。
8. 配置完成后,可以在用户管理 > 用户,user1 的用户详情页的权限页签中查看。
CAM 中的效果
1. 配置成功后,系统会自动在成员账号(menber1)中同步创建一个角色(TencentCloudSSO-CVM-test),您可前往 角色 页面查看。
2. 在角色页面,您可单击目标角色名称,查看关联策略。
步骤四:角色登录
获取用户登录 URL
1. 在左侧导航栏,单击身份中心概览。
2. 在概览页面的右侧,查看或复制用户登录 URL。
在浏览器中访问用户 URL
1. 在身份中心登录页面,单击登录。
说明:
2. 系统自动跳转到企业 IdP 的登录页面,本示例使用的是谷歌 IdP。
3. 验证通过后,进入 CAM 角色登录页签,展开成员账号(member_1)列表,选择权限(CVM-test)登录。
