Topik ini menjelaskan cara mengonfigurasi notifikasi peringatan untuk kedaluwarsa kredensial System for Cross-domain Identity Management (SCIM) dan kedaluwarsa sertifikat penandatanganan Security Assertion Markup Language (SAML) dari CloudSSO menggunakan Cloud Config dan CloudMonitor.
Skenario
Kedaluwarsa kredensial SCIM
Anda harus membuat kredensial SCIM saat mengonfigurasi sinkronisasi pengguna SCIM antara CloudSSO dan penyedia identitas perusahaan (IdP). Untuk informasi lebih lanjut, lihat Kelola Kredensial SCIM.
Masa berlaku kredensial SCIM adalah satu tahun. Setelah kredensial SCIM kedaluwarsa, sinkronisasi SCIM dinonaktifkan. Anda harus membuat kredensial SCIM lainnya terlebih dahulu untuk rotasi. Untuk memastikan bahwa pengaturan sinkronisasi SCIM tetap valid, Anda dapat mengonfigurasi aturan kedaluwarsa kredensial SCIM di Cloud Config dan menggunakan CloudMonitor untuk mengirim notifikasi saat kredensial SCIM kedaluwarsa. Dengan cara ini, Anda dapat merotasi kredensial SCIM sebelum kedaluwarsa.
Kedaluwarsa sertifikat penandatanganan SAML
Saat mengonfigurasi Single Sign-On (SSO) antara CloudSSO dan IdP perusahaan, Anda harus mengunggah file metadata IdP perusahaan. File metadata tersebut berisi sertifikat penandatanganan SAML dari IdP perusahaan. CloudSSO mendapatkan masa berlaku sertifikat dari file metadata. Untuk informasi lebih lanjut, lihat Konfigurasikan SSO.
Jika sertifikat penandatanganan SAML kedaluwarsa, SSO gagal dan pengguna tidak dapat masuk ke Alibaba Cloud menggunakan CloudSSO. Anda harus membuat sertifikat penandatanganan SAML lainnya terlebih dahulu untuk rotasi. Anda dapat mengonfigurasi aturan kedaluwarsa sertifikat penandatanganan SAML di Cloud Config dan menggunakan CloudMonitor untuk mengirim notifikasi saat sertifikat penandatanganan SAML kedaluwarsa. Dengan cara ini, Anda dapat merotasi sertifikat penandatanganan SAML sebelum kedaluwarsa.
Prosedur
Lakukan operasi berikut sebagai administrator CloudSSO:
Langkah 1: Buat aturan di Cloud Config
Masuk ke Konsol Cloud Config.
Klik Activate Now untuk mengaktifkan Cloud Config.
CatatanJika Anda telah mengaktifkan Cloud Config, lewati langkah ini.
Buat aturan.
Di bilah navigasi di sebelah kiri, pilih .
Di halaman Rules, klik Create Rule.
Di langkah Select Create Method, pilih Based on managed rule, pilih aturan, lalu klik Next.
Pilih cloudsso-scim-credential-expired-check atau cloudsso-directory-saml-expired-check.
Di langkah Set Basic Properties, konfigurasikan parameter dan klik Next.
Di bagian Parameter Settings, tentukan nilai di kolom Nilai Harapan. Nilai tersebut menentukan jumlah hari sebelum tanggal kedaluwarsa selama notifikasi kedaluwarsa dikirim. Nilai defaultnya adalah 90 hari. Anda dapat mengubah nilai berdasarkan kebutuhan bisnis Anda.
Gunakan nilai default untuk parameter lainnya.
Di langkah Set Effective Scope, tinjau jenis sumber daya yang dipilih dan klik Next.
Di langkah Set Remediation, klik Submit.
Anda dapat mengaktifkan Set Remediation dan mengonfigurasi perbaikan template atau perbaikan kustom untuk aturan sesuai petunjuk. Untuk informasi lebih lanjut tentang cara mengonfigurasi perbaikan, lihat Ikhtisar Pengaturan Perbaikan.
Langkah 2: Konfigurasikan aturan peringatan berbasis pemicu peristiwa sistem di Konsol CloudMonitor
Masuk ke Konsol Cloud Monitor.
Buat kontak peringatan.
Untuk informasi lebih lanjut, lihat Buat Kontak Peringatan.
Buat grup kontak peringatan.
Untuk informasi lebih lanjut, lihat Buat Grup Kontak Peringatan.
Buat kebijakan langganan peristiwa.
Setelah Cloud Config mengirimkan semua peristiwa non-patuh ke CloudMonitor, Anda dapat membuat kebijakan langganan peristiwa berdasarkan kebutuhan bisnis Anda untuk menerima notifikasi peringatan untuk peristiwa non-patuh melalui email.
Di bilah navigasi di sebelah kiri, pilih .
Di tab Subscription Policy, klik Create Subscription Policy.
Di halaman Create Subscription Policy, konfigurasikan parameter.
Basic Information: Masukkan nama untuk kebijakan langganan.
Alert Subscription: Atur parameter Subscription Type menjadi System events. Di bagian Subscription Scope, atur parameter Products menjadi CloudConfig, parameter Event Type menjadi Notifications, parameter Event name menjadi ConfigurationNonCompliantNotification, dan parameter Event Level menjadi Notification (Info). Masukkan satu atau lebih kata kunci di bidang Event Content atau biarkan parameter ini kosong. Biarkan parameter Application grouping dan Event Resources kosong.
CatatanUntuk informasi lebih lanjut tentang peristiwa sistem yang didukung oleh Cloud Config, lihat daftar peristiwa pada halaman CloudConfig.
Informasi yang Anda masukkan di bidang Event Content digunakan untuk mencocokkan peristiwa. Misalnya, jika Anda memasukkan Critical di bidang Isi Peristiwa, hanya aturan yang memiliki Risk Level High di Cloud Config yang cocok. Anda dapat membiarkan parameter ini kosong atau memasukkan satu atau lebih kata kunci berdasarkan kebutuhan bisnis Anda.
Noise Reduction: Gunakan pengaturan default.
Notification: Pilih grup kontak peringatan yang Anda buat di Langkah 2 dari daftar drop-down Konfigurasi Notifikasi. Gunakan pengaturan default untuk parameter Custom Notification Method.
CatatanUntuk informasi lebih lanjut tentang cara membuat kebijakan konfigurasi notifikasi, lihat bagian Buat Kebijakan Konfigurasi Notifikasi dari topik "Kelola Konfigurasi Notifikasi".
CloudMonitor secara otomatis mengirimkan notifikasi peringatan berdasarkan metode notifikasi untuk kontak peringatan di alert contact group yang ditentukan dan tingkat peringatan yang sesuai di custom notification method.
Push and Integration: Tidak diperlukan konfigurasi.
Klik Submit.