全部产品
Search

搜索本产品

    CloudSSO:Konfigurasi SSO

    文档中心

    CloudSSO:Konfigurasi SSO

    更新时间:Nov 10, 2025

    CloudSSO mendukung single sign-on (SSO) berbasis Security Assertion Markup Language (SAML) 2.0. Alibaba Cloud bertindak sebagai penyedia layanan (SP), sedangkan sistem manajemen identitas perusahaan berfungsi sebagai penyedia identitas (IdP). SSO memungkinkan karyawan perusahaan mengakses CloudSSO menggunakan identitas pengguna yang terdaftar di IdP. Dokumen ini menjelaskan cara mengonfigurasi SSO di konsol CloudSSO.

    Kelola informasi IdP

    Sebelum mengaktifkan SSO, Anda harus mengonfigurasi IdP dan mengaktifkan sakelar Logon SSO di konsol CloudSSO. Untuk mengonfigurasi IdP, Anda dapat memilih antara Konfigurasi Manual atau Unggah File Metadata. Jika memilih Konfigurasi Manual, cukup atur parameter berikut yang diperlukan agar SSO berfungsi: Entity ID, URL Logon, dan Sertifikat. Jika perlu mengonfigurasi lebih banyak parameter, buat file metadata IdP menggunakan klien IdP dan pilih Unggah File Metadata.

    Konfigurasi informasi IdP

    Sebelum mengaktifkan SSO, Anda harus mengonfigurasi IdP.

    1. Masuk ke konsol CloudSSO.

    2. Di panel navigasi sebelah kiri, klik Settings.

    3. Di tab User Settings pada bagian SSO Logon, klik Configure IdP di bawah IdP Information.

    4. Di kotak dialog Configure IdP, pilih Upload Metadata File atau Manual Configuration, lalu konfigurasikan informasi IdP. Anda dapat memperoleh file metadata IdP atau informasi yang diperlukan dari IdP.

      • Upload Metadata File

        Klik Upload Metadata File untuk mengunggah file metadata IdP.

      • Manual Configuration

        • Entity ID: Entity ID dari IdP.

        • Logon URL: URL logon dari IdP.

        • Certificate: Sertifikat yang digunakan oleh IdP untuk menandatangani respons SAML. Sertifikat tersebut harus dalam format X.509 Privacy Enhanced Mail (PEM). Klik Upload Certificate untuk mengunggah sertifikat yang diterbitkan oleh IdP.

    5. Klik OK.

    Perbarui informasi IdP

    Anda dapat memperbarui informasi IdP baik saat SSO aktif maupun tidak. Namun, jika informasi IdP yang dimodifikasi tidak sesuai dengan informasi aslinya, SSO mungkin gagal. Lanjutkan dengan hati-hati.

    1. Di bagian IdP Information, klik Configure IdP.

    2. Di kotak dialog Configure IdP, pilih metode konfigurasi, modifikasi informasi IdP, unggah sertifikat baru, atau unggah file metadata IdP. Lalu, klik OK.

    Hapus informasi IdP

    Jika SSO dinonaktifkan, Anda dapat menghapus informasi IdP. Namun, jika SSO aktif, Anda tidak dapat menghapus informasi IdP.

    Peringatan

    Menghapus informasi IdP akan menyebabkan SSO gagal.

    1. Di bagian IdP Information, klik Clear IdP Information.

    2. Di pesan Clear IdP Information, klik OK.

    Rotasi sertifikat penandatanganan SAML

    Disarankan untuk secara berkala merotasi sertifikat penandatanganan SAML yang diterbitkan oleh IdP. Anda dapat mengunggah sertifikat baru sebelum sertifikat saat ini kedaluwarsa. Saat pengguna memulai SSO, CloudSSO menggunakan sertifikat lama dan baru untuk memverifikasi tanda tangan SAML. Jika salah satu sertifikat berhasil memverifikasi tanda tangan, logon dipercaya. Setelah periode tertentu, jika Anda yakin bahwa sertifikat baru efektif dan sertifikat lama tidak lagi digunakan, Anda dapat menghapus sertifikat lama.

    Peringatan

    Menghapus sertifikat penandatanganan SAML yang sedang digunakan akan menyebabkan SSO gagal. Lanjutkan dengan hati-hati.

    1. Di bagian IdP Information, klik Manage di sebelah kanan SAML Signature Certificate.

    2. Di kotak dialog Certificate, rotasikan sertifikat penandatanganan SAML.

      1. Klik Upload New Certificate untuk mengunggah sertifikat baru yang diperoleh dari IdP.

      2. Verifikasi bahwa IdP menggunakan sertifikat baru untuk menandatangani respons SAML. Pastikan Anda dapat masuk ke portal pengguna CloudSSO menggunakan metode SSO.

      3. Setelah periode waktu tertentu, jika Anda yakin bahwa sertifikat baru efektif dan sertifikat lama tidak lagi digunakan, klik Delete di kolom Actions sertifikat lama untuk menghapusnya.

      4. Klik OK. Rotasi sertifikat penandatanganan SAML selesai.

    Kelola informasi SP

    Memperoleh metadata SP

    File metadata SP diperlukan saat Anda mengonfigurasi SSO di IdP Anda. Anda dapat mengunduh file metadata SP dari bagian SP Information. Anda juga dapat melihat atau menyalin nilai parameter ACS URL dan Entity ID. Nilai-nilai tersebut diperlukan saat Anda mengonfigurasi IdP secara manual.

    Catatan

    Jika fitur URL akselerasi diaktifkan, Anda dapat menggunakan accelerated ACS URL saat mengonfigurasi SSO di IdP Anda. Untuk informasi lebih lanjut, lihat Akselerasi Akses dari Luar Daratan Tiongkok.

    Konfigurasi algoritma enkripsi untuk permintaan SAML

    Di bagian SP Information, Anda dapat mengklik Edit di sebelah kanan Encryption Algorithm For IdP Requests untuk mengonfigurasi algoritma enkripsi untuk permintaan SAML yang dikirim SP ke IdP. Secara default, SHA1 digunakan. Anda juga dapat memilih SHA256.

    Konfigurasi apakah akan mengenkripsi pernyataan SAML

    Di bagian SP Information, Anda dapat mengklik Edit di sebelah kanan SAML Assertion Encryption For IdP Responses untuk menentukan apakah akan mengenkripsi pernyataan SAML dalam tanggapan SAML. Jika Anda memilih Encrypt, SP perlu mendekripsi pernyataan tersebut.

    Kelola sertifikat CA SP (pratinjau undangan)

    CloudSSO menyediakan sertifikat tanda tangan sendiri dan sertifikat yang diterbitkan oleh otoritas sertifikat tepercaya (CA). Secara default, sertifikat tanda tangan sendiri CloudSSO digunakan. Anda dapat mengajukan sertifikat CA jika diperlukan.

    Penting

    Fitur sertifikat CA dalam pratinjau undangan. Hubungi manajer layanan Alibaba Cloud untuk mengajukan uji coba.

    Algoritma yang didukung oleh sertifikat CA

    Metadata SP mencakup dua sertifikat: sertifikat penandatanganan dan sertifikat enkripsi asertasi. Masing-masing mendukung algoritma berikut:

    Masa berlaku sertifikat CA

    Sertifikat CA berlaku selama satu tahun dan harus dirotasi setiap tahun. Waktu kedaluwarsa spesifik ditampilkan di konsol.

    Aktifkan sertifikat CA

    Di bagian SP Information, aktifkan Use Certificate Signed By Trusted CA untuk mengaktifkan sertifikat CA.

    Setelah mengaktifkan sertifikat CA, sertifikat tanda tangan sendiri CloudSSO secara otomatis dinonaktifkan.

    Rotasi sertifikat CA

    Periode rotasi adalah 80 hari terakhir sebelum sertifikat yang sedang digunakan kedaluwarsa. Selama periode ini, Anda akan diminta untuk mengunggah sertifikat baru di konsol CloudSSO hingga sertifikat lama kedaluwarsa. Selama periode rotasi, sertifikat lama dan baru valid. Kami menyarankan Anda mengunggah sertifikat baru sesegera mungkin selama periode rotasi.

    1. Di bagian SP Information pada bagian SSO Logon, unduh file metadata SP yang berisi sertifikat CA baru.

    2. Di IdP, konfigurasikan sertifikat lama dan baru.

    3. Di IdP, gunakan hanya sertifikat baru dan periksa apakah SSO antara IdP dan CloudSSO bekerja seperti yang diharapkan.

      Jika SSO berfungsi seperti yang diharapkan, Anda dapat menghapus sertifikat lama. Anda juga dapat mempertahankan sertifikat lama, yang tidak memengaruhi SSO.

    Aktifkan atau nonaktifkan SSO

    Aktifkan SSO

    Setelah mengonfigurasi IdP, Anda dapat mengaktifkan SSO.

    Catatan

    Setelah mengaktifkan SSO, logon nama pengguna-kata sandi secara otomatis dinonaktifkan.

    1. Di bagian SSO Logon pada tab User Settings, aktifkan sakelar untuk SSO Logon.

    2. Di pesan Enable SSO Logon, klik OK.

    Nonaktifkan SSO

    Catatan

    Setelah menonaktifkan SSO, logon nama pengguna-kata sandi secara otomatis diaktifkan.

    1. Di bagian SSO Logon pada tab User Settings, nonaktifkan sakelar untuk SSO Logon.

    2. Di pesan Disable SSO Logon, klik OK.