腾讯云目前支持两种 SSO 方式:角色 SSO 和用户 SSO。本文为您介绍这两种方式的适用场景和选择依据,帮助您根据整体业务需求选择合适的 SSO 方式。
角色SSO
角色 SSO 适用于以下场景:
出于管理成本考虑,您不希望在云端创建和管理用户,从而避免用户同步带来的工作量。
您希望在使用 SSO 的同时,仍然保留一部分云上本地用户,可以在腾讯云直接登录。云上本地用户的用途可以是新功能测试、网络或企业 IdP 出现问题时的备用登录方式等。
您希望根据用户在本地 IdP 中加入的组或者用户的某个特殊属性,来区分云上拥有的权限。当进行权限调整时,只需要在本地进行分组或属性的更改。
您拥有多个腾讯云账号但使用统一的企业 IdP,希望在企业 IdP 配置一次,就可以实现到多个腾讯云账号的 SSO。
您的各个分支机构存在多个 IdP,都需要访问同一个腾讯云账号,您需要在一个腾讯云账号内配置多个 IdP 进行 SSO。
除了控制台,您也希望使用程序访问的方式来进行 SSO。
用户SSO
用户 SSO 适用于以下场景:
您希望从腾讯云的登录页面发起登录,而非直接访问您 IdP 的登录页面。
您需要使用的云产品中有部分暂时不支持角色访问。支持角色访问(即通过 STS 访问)的云产品请参见 支持角色的业务。 您的 IdP 不支持复杂的自定义属性配置。
您没有上述需要使用角色 SSO 的业务需求,而又希望尽量简化 IdP 配置。