Bagian ini menjelaskan prasyarat dan langkah-langkah untuk menggunakan CloudSSO serta menyediakan tautan ke contoh konfigurasi.
Prasyarat
Direktori sumber daya harus diaktifkan, dan struktur organisasi multi-akun telah dibangun.
Untuk informasi lebih lanjut, lihat Ikhtisar Direktori Sumber Daya.
Hanya akun manajemen dari direktori sumber daya atau pengguna RAM dengan hak administratif dalam akun manajemen yang dapat mengaktifkan CloudSSO.
Akun manajemen
Akun manajemen adalah akun yang digunakan untuk mengaktifkan direktori sumber daya dan bertindak sebagai administrator super dari direktori tersebut. Akun ini memiliki izin penuh atas direktori sumber daya dan anggotanya. Anda harus menggunakan akun Alibaba Cloud yang telah lulus enterprise real-name verification untuk mengaktifkan direktori sumber daya. Setiap direktori sumber daya hanya memiliki satu akun manajemen.
Pengguna RAM
Anda harus melampirkan kebijakan sistem AliyunCloudSSOFullAccess kepada pengguna RAM dari akun manajemen. Untuk informasi lebih lanjut, lihat Memberikan izin kepada pengguna RAM.
Prosedur
Aktifkan CloudSSO dan buat Direktori CloudSSO.
Untuk informasi lebih lanjut, lihat Aktifkan CloudSSO dan Buat Direktori CloudSSO.
Kelola pengguna dan grup.
Anda dapat menggunakan salah satu metode berikut:
Sinkronkan pengguna atau grup dari penyedia identitas (IdP). Metode ini direkomendasikan.
Aktifkan sinkronisasi System for Cross-domain Identity Management (SCIM) dan buat kredensial SCIM di konsol CloudSSO.
Untuk informasi lebih lanjut, lihat Aktifkan sinkronisasi SCIM dan Buat kredensial SCIM.
Konfigurasikan sinkronisasi pengguna dan grup di IdP.
Untuk informasi lebih lanjut, lihat Contoh konfigurasi.
CatatanSinkronisasi SCIM hanya dapat dikonfigurasi jika IdP mendukung SCIM.
Buat pengguna atau grup di konsol CloudSSO.
Untuk informasi lebih lanjut, lihat Buat pengguna, Buat grup, dan Tambahkan pengguna ke grup.
Tentukan metode masuk.
Anda dapat mengaktifkan salah satu metode masuk berikut. Jika Anda mengaktifkan satu metode, metode lainnya akan dinonaktifkan secara otomatis.
Masuk SSO
Untuk informasi lebih lanjut, lihat Aktifkan masuk SSO dan Contoh konfigurasi.
Masuk nama pengguna-kata sandi
Untuk informasi lebih lanjut, lihat Aktifkan masuk nama pengguna-kata sandi.
Buat konfigurasi akses.
Konfigurasi akses adalah template untuk pengguna CloudSSO mengakses akun dalam direktori sumber daya. Template mencakup informasi seperti izin akses, durasi sesi, dan status relay. Untuk informasi lebih lanjut, lihat Ikhtisar dan Buat konfigurasi akses.
Tetapkan izin akses pada akun di direktori sumber daya Anda kepada pengguna atau grup.
Anda dapat menentukan pengguna atau grup yang diizinkan mengakses akun berdasarkan struktur direktori sumber daya. Anda juga dapat menetapkan izin akses atau konfigurasi kepada pengguna atau grup. Izin akses dapat diberikan pada akun manajemen perusahaan dan anggota di direktori sumber daya. Untuk informasi lebih lanjut, lihat Tetapkan izin akses pada akun dalam direktori sumber daya.
Akses sumber daya Alibaba Cloud.
Masuk ke portal pengguna CloudSSO menggunakan metode masuk yang telah ditentukan.
Lihat semua akun yang dapat Anda akses di direktori sumber daya Anda.
Pilih akun untuk mengakses sumber daya Alibaba Cloud yang memiliki izin.
Untuk informasi lebih lanjut, lihat Masuk ke portal pengguna CloudSSO dan akses sumber daya Alibaba Cloud.
Contoh konfigurasi
Enterprise IdP | Sinkronisasi SCIM | Masuk SSO |
Azure AD | ||
Okta | ||
AD FS | Tidak ada | |
Shibboleth | Tidak ada |