CloudSSO terintegrasi dengan Alibaba Cloud CLI. Pengguna dapat masuk ke portal pengguna CloudSSO melalui browser atau Alibaba Cloud CLI. Saat menggunakan Alibaba Cloud CLI untuk mengakses CloudSSO, pengguna perlu memilih akun dalam direktori sumber daya serta konfigurasi akses yang diperlukan untuk mengakses sumber daya Alibaba Cloud. Topik ini menjelaskan cara menggunakan Alibaba Cloud CLI untuk mengakses CloudSSO.
Informasi latar belakang
Alibaba Cloud CLI versi 3.0.271 dan versi yang lebih baru (versi baru) telah menambahkan tipe kredensial CloudSSO serta menyederhanakan proses konfigurasi. Metode operasi versi lama tetap tersedia. Anda dapat menggunakan perintah aliyun version untuk memeriksa versi Alibaba Cloud CLI yang sedang digunakan.
Versi baru
Versi baru menyediakan metode konfigurasi interaktif dan non-interaktif. Metode konfigurasi interaktif menyederhanakan proses melalui panduan langkah demi langkah sehingga memudahkan pengguna pemula. Sementara itu, metode konfigurasi non-interaktif lebih cocok untuk penulisan skrip guna mendukung konfigurasi otomatis.
Konfigurasi interaktif
Jalankan perintah aliyun configure untuk mulai mengonfigurasi informasi logon CloudSSO secara interaktif. Anda dapat menentukan beberapa profil dan memilih profil tertentu untuk beralih cepat antar akun dan konfigurasi akses.
aliyun configure --profile SSOProfile --mode CloudSSO
Masukkan URL logon pengguna sesuai permintaan.
aliyun configure --profile SSOProfile --mode CloudSSO
CloudSSO Sign In Url []: https://signin-******.alibabacloudsso.com/device/login
Pada browser yang muncul, masuk ke portal pengguna. Setelah berhasil masuk, tutup browser tersebut.
Jika tidak ada browser yang muncul, salin URL logon dan kode pengguna yang disediakan di CLI untuk masuk ke portal pengguna.
Contoh:
Jika browser tidak terbuka secara otomatis, gunakan URL berikut untuk menyelesaikan proses login:
SignIn url: https://signin-****.alibabacloudsso.com/device/code
User code: *********
CLI akan memberi tahu bahwa logon berhasil dan menampilkan nama pengguna dari akun dalam direktori sumber daya yang dapat Anda akses. Masukkan nomor akun yang ingin Anda akses.
Sekarang Anda dapat login ke akun Anda dengan konfigurasi SSO di browser.
Anda telah berhasil login.
Silakan pilih akun:
1. <RD Management Account>
2. AccountName
Silakan masukkan nomor akun: 1
CLI menampilkan daftar konfigurasi akses yang tersedia. Masukkan nomor konfigurasi akses yang ingin Anda gunakan.
Silakan pilih konfigurasi akses:
1. AccessConfiguration1
2. AccessConfiguration2
Silakan masukkan nomor konfigurasi akses: 2
Tentukan wilayah default.
Default Region Id []: cn-hangzhou
Setelah konfigurasi selesai, pesan “Configure Done” dan pesan selamat datang akan ditampilkan.
Mode non-interaktif
Jalankan perintah aliyun configure set untuk mengonfigurasi kredensial CloudSSO secara non-interaktif. Tabel berikut menjelaskan parameter dan opsi yang diperlukan untuk kredensial tersebut:
Opsi | Deskripsi | Nilai contoh |
profile | Nama konfigurasi kredensial. Nama ini dapat dikustomisasi oleh pengguna dan dapat berisi huruf besar (A-Z), huruf kecil (a-z), angka (0-9), serta karakter khusus (_/+=.@-). | SSOProfile |
mode | Jenis kredensial. Dalam skenario ini, nilainya harus CloudSSO. | CloudSSO |
cloud-sso-sign-in-url | URL logon pengguna. Cara mendapatkan: Masuk ke Konsol CloudSSO dan dapatkan URL logon pengguna di sisi kanan halaman Ikhtisar. | https://signin-******.alibabacloudsso.com/device/login |
cloud-sso-account-id | UID akun dalam direktori sumber daya. Cara mendapatkan: Masuk ke Konsol CloudSSO dan dapatkan UID akun dalam direktori sumber daya di sisi kanan halaman Manajemen Izin Multi-akun. | 012345678910**** |
cloud-sso-access-config | ID konfigurasi akses. Cara mendapatkan: Masuk ke Konsol CloudSSO dan dapatkan ID konfigurasi akses di halaman Konfigurasi Akses. | ac-012345678910abcde**** |
region | Wilayah default. Beberapa layanan cloud tidak mendukung akses lintas wilayah. Kami menyarankan agar Anda menentukan wilayah sumber daya Anda. | cn-hangzhou |
Perintah konfigurasi:
Catatan Setelah mengonfigurasi kredensial CloudSSO secara non-interaktif, Anda perlu menjalankan perintah aliyun configure --profile <profileName> untuk melakukan logon pertama kali saat menggunakan kredensial tersebut.
Versi lama
Prosedur
Langkah 1: Instal CLI
Anda harus menginstal Alibaba Cloud CLI dan CloudSSO CLI:
Langkah 2: Konfigurasikan informasi akses ke CloudSSO
Jalankan perintah berikut untuk mengonfigurasi informasi akses ke CloudSSO:
acs-sso configure
Masukkan URL logon pengguna signinUrl.
Catatan Cara mendapatkan URL logon pengguna signinUrl: Masuk ke Konsol CloudSSO, lalu temukan User Logon URL di sisi kanan halaman Overview.
Contoh permintaan:
acs-sso configure
? please input 'signinUrl': https://signin-******.alibabacloudsso.com/device/login
Contoh tanggapan sukses:
configuration done!
Langkah 3: Masuk ke Alibaba Cloud sebagai pengguna CloudSSO
Berikut adalah perintah yang umum digunakan:
Logon default
Jalankan perintah berikut:
acs-sso login
Pada browser yang muncul, masuk ke portal pengguna. Setelah berhasil masuk, tutup browser tersebut.
Jika tidak ada browser yang muncul, salin URL logon dan kode pengguna yang disediakan di CLI untuk masuk ke portal pengguna.
Contoh:
Jika browser default Anda tidak terbuka secara otomatis, silakan gunakan URL berikut untuk menyelesaikan proses signin.
Signin URL: https://signin-****.alibabacloudsso.com/device/code
User Code: *********
Jika pengguna saat ini memiliki izin akses ke beberapa akun dalam direktori sumber daya, CLI akan meminta Anda untuk memilih akun dan konfigurasi akses yang sesuai. Selanjutnya, CLI akan menghasilkan pasangan Kunci Akses untuk akun tersebut.
Contoh tanggapan:
You have logged in.
used account: test-account(191585963325****)
used access configuration: TestAC(ac-x08xz11covd3cyzd****)
{
"mode": "StsToken",
"access_key_id": "STS.****",
"access_key_secret": "****",
"sts_token": "****"
}
Setelah logon berhasil, profil akan dikaitkan dengan akun dalam direktori sumber daya dan konfigurasi akses yang dipilih. Informasi ini akan di-cache dan digunakan untuk logon berikutnya.
Tentukan nama konfigurasi logon CloudSSO.
acs-sso login --profile sso
Jika Anda ingin mengonfigurasi informasi logon untuk beberapa akun dalam direktori sumber daya dan konfigurasi akses sekaligus, Anda dapat menentukan profil logon untuk menggunakan akun tertentu beserta konfigurasi aksesnya. Dalam hal ini, profil logon digunakan untuk membedakan beberapa akun dalam direktori sumber daya dan konfigurasi aksesnya. Anda dapat menggunakan --profile untuk menentukan profil logon berbeda untuk CloudSSO. Perintah di atas menentukan bahwa profil logon adalah sso.
Jika --profile tidak ditentukan, profil logon default adalah default.
Dapatkan konfigurasi logon
acs-sso profile --list
Hapus konfigurasi logon tertentu
Jalankan perintah berikut untuk menghapus konfigurasi logon default:
acs-sso profile --delete --profile default
Jalankan perintah berikut untuk menghapus konfigurasi logon bernama sso:
acs-sso profile --delete --profile sso
Konfigurasikan mode keluaran
Anda dapat memilih salah satu mode berikut sesuai kebutuhan:
Mode proses eksternal (default): Gunakan mode keluaran ini saat menggunakan mode proses eksternal (External) pada Alibaba Cloud CLI.
Contoh tanggapan:
{
"mode": "StsToken",
"access_key_id": "STS.NUyPeEoab****",
"access_key_secret": "GBubpmh****",
"sts_token": "CAIS****"
}
Mode variabel lingkungan: Gunakan parameter --env untuk mengonfigurasi keluaran dalam mode variabel lingkungan. Contohnya: acs-sso login --profile user1 --env.
Contoh tanggapan:
export ALIBABACLOUD_ACCESS_KEY_ID=STS.NUyPeEoab****
export ALIBABACLOUD_ACCESS_KEY_SECRET=GBubpmh****
export SECURITY_TOKEN=CAIS****
Variabel lingkungan dapat digunakan bersama alat Alibaba Cloud seperti Terraform. Contohnya: `acs-sso login --profile user1 --env` && terraform plan.
Variabel lingkungan juga dapat digunakan bersama Alibaba Cloud CLI. Contohnya: `acs-sso login --profile user1 --env` && aliyun ecs DescribeRegions.
Langkah 4: Gunakan Alibaba Cloud CLI
Contoh permintaan:
aliyun configure --mode External --profile sso
Configuring profile 'sso' in 'External' authenticate mode...
Process Command []: acs-sso login --profile sso
Default Region Id []: cn-shanghai
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en:
Saving profile[sso] ...Done.
Dalam contoh ini, Process Command menggunakan perintah acs-sso login --profile sso untuk menetapkan bahwa profil logon CloudSSO adalah sso. Disarankan agar Anda menggunakan profil yang sama untuk Alibaba Cloud CLI dan CloudSSO CLI. Dengan demikian, jika beberapa profil logon dikonfigurasi, Anda dapat mengatur kredensial CLI beberapa kali dan mencocokkannya dengan profil logon yang berbeda.
Contoh tanggapan sukses:
Configure Done!!!
..............888888888888888888888 ........=8888888888888888888D=..............
...........88888888888888888888888 ..........D8888888888888888888888I...........
.........,8888888888888ZI: ...........................=Z88D8888888888D..........
.........+88888888 ..........................................88888888D..........
.........+88888888 .......Welcome to use Alibaba Cloud.......O8888888D..........
.........+88888888 ............. ************* ..............O8888888D..........
.........+88888888 .... Command Line Interface(Reloaded) ....O8888888D..........
.........+88888888...........................................88888888D..........
..........D888888888888DO+. ..........................?ND888888888888D..........
...........O8888888888888888888888...........D8888888888888888888888=...........
............ .:D8888888888888888888.........78888888888888888888O ..............
Jalankan perintah berikut untuk memverifikasi ketersediaan Alibaba Cloud CLI:
aliyun sts GetCallerIdentity --profile sso