身份认证发起：用户通过外部身份提供商（IdP），如 MicrosoftEntralD、Okta 等，发 起登录请求。 认证和同步：IdP 通过 SAML2.0 协议将认证信息传递给IAM账号中的CloudSSO，同时 通过 SCIM 协议进行用户信息同步，确保云上用户身份与IdP 中的身份保持一致。 集中化身份管理：IAM 账号作为核心身份管理中心，通过CloudSSO 接收并处理来自IdP 的认证请求。管理账号（可选）可以通过委派管理员的方式，对CloudSSO进行统一管控，实现身 份管理的集中化控制。 访问路由和权限分配：根据用户身份和权限配置，CloudSSO将用户路由到不同的生产账 号，并根据账号类型采用不同的SSO方式： WorkloadAccount(Prod)：采用角色SSO方式，通过访问配置模板，用户通过角 色扮演（如 Admin、PowerUser、Security、Dev 等角色）访问该账号，管理 ECS、RDS 等 工作负载资源。 BigDataAccount(Prod)：采用用户SSO方式，通过用户同步功能，直接将用户身 份同步到该账号，用户可以直接访问 MaxCompute、DataWorks 等大数据服务，进行业务空 间权限管理等操作。 AIAccount(Prod)：采用角色SSO方式，通过访问配置模板，用户通过角色扮演 （如 Admin、PowerUser、Security、Dev 等角色）访问该账号，管理 PAl、Bailian 等Al基 础设施和平台服务。 资源访问：用户完成SSO登录后，根据所分配的角色或用户权限，访问对应账号下的云 服务和资源，进行相应的操作和管理。