Topik ini menjelaskan cara mengonfigurasi single sign-on (SSO) dari Microsoft Entra ID (sebelumnya Azure AD) ke CloudSSO.
Skenario
Asumsikan suatu perusahaan memiliki banyak pengguna di Microsoft Entra ID dan telah membangun struktur multi-akun dalam direktori sumber daya (RD) Alibaba Cloud. Perusahaan tersebut ingin mengonfigurasi SSO agar pengguna di Microsoft Entra ID dapat langsung mengakses sumber daya tertentu dalam akun anggota tertentu dari direktori sumber daya tersebut.
Prasyarat
Semua operasi konfigurasi di Microsoft Entra ID harus dilakukan oleh administrator dengan izin administrator global.
Untuk informasi lebih lanjut tentang cara membuat pengguna dan memberikan izin administrator di Microsoft Entra ID, lihat dokumentasi Microsoft Entra ID.
Sinkronkan pengguna dari Microsoft Entra ID ke CloudSSO, atau buat pengguna di CloudSSO dengan nama pengguna yang sama.
Sinkronkan pengguna dari Microsoft Entra ID ke CloudSSO (Direkomendasikan): Metode ini cocok untuk skenario dengan banyak pengguna di Microsoft Entra ID. Untuk informasi lebih lanjut, lihat Contoh sinkronisasi pengguna atau kelompok dari Microsoft Entra ID menggunakan SCIM.
Buat pengguna dengan nama yang sama di CloudSSO: Metode ini cocok untuk skenario dengan hanya beberapa pengguna di Microsoft Entra ID. Untuk informasi lebih lanjut, lihat Buat pengguna.
CatatanNama pengguna digunakan untuk logon. Saat Anda mengonfigurasi SSO, nama pengguna CloudSSO harus sesuai dengan nilai bidang yang digunakan untuk SSO di Microsoft Entra ID. Untuk informasi lebih lanjut, lihat Langkah 3: Mengonfigurasi SAML di Microsoft Entra ID.
Buat konfigurasi akses di CloudSSO dan berikan izin pada akun dalam direktori sumber daya Anda untuk menentukan izin akses bagi Pengguna CloudSSO.
Untuk informasi lebih lanjut, lihat Buat konfigurasi akses dan Berikan izin pada akun dalam direktori sumber daya.
Langkah 1: Mendapatkan file metadata SP di konsol CloudSSO
Masuk ke Konsol CloudSSO.
Di panel navigasi sebelah kiri, klik Settings.
Di bagian SSO Logon, unduh file metadata penyedia layanan (SP).
Langkah 2: (Opsional) Buat aplikasi di Microsoft Entra ID
Jika Anda telah mengonfigurasi sinkronisasi System for Cross-domain Identity Management (SCIM), lewati langkah ini dan gunakan aplikasi yang digunakan untuk sinkronisasi SCIM.
Masuk ke Portal Azure sebagai administrator Microsoft Entra ID.
Di pojok kiri atas halaman utama, klik ikon
.Di panel navigasi sebelah kiri, pilih .
Klik New Application.
Di halaman Browse Microsoft Entra Gallery, klik Create Your Own Application.
Di halaman Create Your Own Application, masukkan nama aplikasi, misalnya CloudSSODemo, pilih opsi Integrate Any Other Application You Don't Find In The Gallery (Non-gallery), lalu klik Create.
Langkah 3: Mengonfigurasi SAML di Microsoft Entra ID
Di panel navigasi sebelah kiri halaman CloudSSODemo, pilih .
Di bagian Select a single sign-on method, klik SAML.
Di halaman Set up Single Sign-On with SAML, lakukan langkah-langkah berikut:
Di pojok kiri atas, klik Upload metadata file. Kemudian, pilih file metadata SP yang diperoleh di Langkah 1 dan klik Add.
Di panel Basic SAML Configuration, konfigurasikan parameter berikut dan klik Save.
Identifier (Entity ID): wajib diisi. Setelah file metadata SP diimpor, nilai parameter ini akan ditampilkan secara otomatis.
CatatanJika nilainya tidak ditampilkan secara otomatis, buka halaman Pengaturan di konsol CloudSSO dan salin nilai Entity ID di bagian Logon SSO.
Reply URL (Assertion Consumer Service URL): wajib diisi. Setelah file metadata SP diimpor, nilai parameter ini akan ditampilkan secara otomatis.
CatatanJika nilainya tidak ditampilkan secara otomatis, buka halaman Pengaturan di konsol CloudSSO dan salin nilai ACS URL di bagian Logon SSO.
Relay State: opsional. Parameter ini menentukan URL halaman yang ditampilkan setelah pengguna masuk ke Konsol Manajemen Alibaba Cloud menggunakan SSO. Jika Anda tidak mengonfigurasi parameter ini, pengguna akan diarahkan ke portal pengguna CloudSSO secara default.
CatatanUntuk memastikan keamanan, Anda hanya boleh memasukkan URL yang berisi *.alibabacloudsso.com. Jika Anda memasukkan URL yang tidak berisi nama domain ini, konfigurasi tidak akan berlaku.
Di bagian Attributes & Claims, klik Edit. Atur nilai Unique User Identifier (Name ID) menjadi user.userprincipalname atau bidang lain yang dapat mengidentifikasi pengguna secara unik.
CatatanAnda dapat mengatur bidang apa pun yang mengidentifikasi pengguna secara unik, seperti user.userprincipalname atau user.mail, sebagai nilai
NameIDdalam pernyataan SAML. Karena CloudSSO mengharuskan nilaiNameIDyang masuk sesuai dengan nama pengguna CloudSSO, buatlah pengguna di CloudSSO berdasarkan nilai bidang ini untuk memastikan logon SSO berhasil.Jika Anda juga mengonfigurasi sinkronisasi SCIM, Anda harus mengonfigurasi properti userName untuk SCIM dengan bidang yang sama (misalnya, user.userprincipalname).
Di bagian SAML Certificates, klik Download untuk Federation Metadata XML.
Langkah 4: (Opsional) Tetapkan pengguna di Microsoft Entra ID
Jika Anda telah mengonfigurasi sinkronisasi SCIM, lewati langkah ini.
Di panel navigasi sebelah kiri halaman CloudSSODemo, pilih .
Di pojok kiri atas, klik Add User/group.
Pilih pengguna.
Klik Assign.
Langkah 5: Aktifkan SSO di konsol CloudSSO
Di panel navigasi sebelah kiri konsol CloudSSO, klik Settings.
Di bagian SSO Logon pada halaman Pengaturan, klik Configure IdP.
Di kotak dialog Configure IdP, pilih Upload Metadata File.
Klik Upload untuk mengunggah file metadata IdP yang diperoleh di Langkah 3.
Nyalakan sakelar untuk SSO guna mengaktifkan SSO.
CatatanSetelah SSO diaktifkan, logon dengan nama pengguna dan kata sandi akan dinonaktifkan secara otomatis. SSO berlaku untuk semua pengguna. Setelah Anda mengaktifkan SSO, semua pengguna harus menggunakan metode logon SSO.
Verifikasi hasil konfigurasi
Setelah Anda mengonfigurasi SSO, Anda dapat memulai SSO dari Alibaba Cloud atau Microsoft Entra ID.
Memulai SSO dari Alibaba Cloud
Masuk ke Konsol CloudSSO. Buka halaman Overview dan salin URL yang digunakan untuk masuk ke portal pengguna.
Buka browser, tempel URL yang disalin, lalu tekan Enter.
Klik Redirect. Anda akan diarahkan secara otomatis ke halaman logon Microsoft Entra ID.
Masuk dengan nama pengguna dan kata sandi Microsoft Entra ID Anda.
Setelah logon berhasil, Anda akan diarahkan ke halaman yang ditentukan oleh parameter Relay State. Jika Anda tidak mengonfigurasi parameter Relay State atau mengatur parameter tersebut ke nilai yang tidak valid, Anda akan diarahkan ke portal pengguna seperti yang ditunjukkan pada gambar berikut.
Di tab Log on as RAM Role, klik akun yang diperlukan dalam direktori sumber daya Anda dan klik Show Details di kolom Permissions.
Di panel yang muncul, temukan konfigurasi akses yang diperlukan dan klik Log On di kolom Actions.
Akses sumber daya Alibaba Cloud yang memiliki izin pada akun tersebut.
Memulai SSO dari Microsoft Entra ID
Dapatkan URL akses pengguna.
Masuk ke Portal Azure sebagai administrator.
Klik ikon
di halaman utama.Di panel navigasi sebelah kiri, pilih .
Di daftar aplikasi pada halaman yang muncul, klik CloudSSODemo.
Di panel navigasi sebelah kiri, klik Properties dan salin nilai User access URL.
User Access URL adalah tautan langsung untuk mengakses aplikasi ini di browser.
Setelah Anda mendapatkan user access URL dari administrator, masukkan URL tersebut di browser Anda dan gunakan nama pengguna serta kata sandi yang diperlukan untuk logon.
Setelah logon berhasil, Anda akan diarahkan ke halaman yang ditentukan oleh parameter Relay State. Jika Anda tidak mengonfigurasi parameter Relay State atau mengatur parameter tersebut ke nilai yang tidak valid, Anda akan diarahkan ke portal pengguna.
Di tab Log on as RAM Role, klik akun yang diperlukan dalam direktori sumber daya Anda dan klik Show Details di kolom Permissions.
Di panel yang muncul, temukan konfigurasi akses yang diperlukan dan klik Log On di kolom Actions.
Akses sumber daya Alibaba Cloud yang memiliki izin pada akun tersebut.