1.针对用户SSO，子用户是否可以管理元数据文件？如果可以管理，子用户需要什么权限？

子用户和主用户看到的SSO管理的元数据文件是同一个，如果子用户改了，则主用户看到的元数据文件也改了子用户如果需要开启管理SSO的权限和修改元文件的权限，需要有RAM相关的全部权限(AliyunRAMFullAccess)

2.关于角色SSO，在IDAAS配置的“AccessKeyID”和“AccessKeySecret”的用户是否需要有RAM访问控制的权限？

需要，配置的“AccessKeyID”和“AccessKeySecret”的用户得有RAM的权限（AliyunRAMReadOnlyAccess或者AliyunRAMFullAccess），在IDAAS绑定子账户页面才可以读取到身份提供商RAM角色列表

3.角色SSO，在IDAAS绑定子账户页面能够选择哪些类型的角色？

能够选择的范围只能是上传了应用元文件的身份提供商对应的RAM角色，不能选择阿里云账号RAM角色和阿里云服务RAM角色