Topik ini menjelaskan cara menggunakan Identity as a Service (IDaaS) untuk masuk ke aplikasi pihak ketiga dengan akun Active Directory (AD).
Skenario
IDaaS mendukung sinkronisasi data dengan domain AD dan autentikasi delegasi, memungkinkan Anda masuk ke ratusan aplikasi menggunakan akun AD atau OpenLDAP.
Untuk mencapai tujuan di atas, Anda harus menyinkronkan akun AD ke IDaaS dan menambahkan aplikasi yang mendukung Single Sign-On (SSO) ke IDaaS. Konfigurasi ini memungkinkan akun perusahaan Anda masuk ke aplikasi pihak ketiga dengan menggunakan akun AD.
Topik ini menggambarkan skenario di mana SSO berbasis pengguna Alibaba Cloud adalah aplikasi pihak ketiga. Semua fitur IDaaS yang digunakan disediakan secara gratis.
Dalam skenario nyata, apakah suatu fitur gratis tergantung pada apakah template aplikasi pihak ketiga tersebut gratis. Untuk informasi lebih lanjut, lihat Fitur dari setiap edisi.
Prosedur
Langkah 1: Aktifkan instance IDaaS
Sebelum mengonfigurasi aplikasi, Anda harus membuat instance IDaaS. Untuk informasi lebih lanjut, lihat Aktifkan instance gratis.
Langkah 2: Sinkronkan akun AD ke IDaaS
Untuk menerapkan masuk menggunakan akun AD atau OpenLDAP, Anda harus terlebih dahulu menyinkronkan akun tersebut ke IDaaS. Dalam topik ini, akun AD digunakan. Anda dapat menyinkronkan akun lain sesuai kebutuhan bisnis:
Sinkronkan akun AD ke IDaaS: Hubungkan IDaaS ke AD.
Sinkronkan akun OpenLDAP ke IDaaS: Hubungkan IDaaS ke OpenLDAP.
Pastikan bahwa Autentikasi Delegasi diaktifkan.
Setelah sinkronisasi selesai, Anda dapat melihat akun yang disinkronkan di halaman Akun.
Langkah 3: Tambahkan aplikasi di IDaaS
Tambahkan aplikasi di IDaaS dan konfigurasikan SSO untuk aplikasi tersebut. Dalam topik ini, SSO berbasis pengguna Alibaba Cloud digunakan.
Untuk informasi lebih lanjut tentang konfigurasi dan penggunaan SSO berbasis pengguna Alibaba Cloud, lihat SSO berbasis pengguna Alibaba Cloud.
Ketika mengaitkan Pengguna Resource Access Management (RAM), tentukan nama pengguna akun AD yang disinkronkan ke IDaaS sebagai nama pengguna akun IDaaS, dan gunakan nama pengguna Pengguna RAM sebagai nama pengguna akun aplikasi.
Langkah 4: Berikan izin aplikasi
Berikan izin kepada akun untuk mengakses aplikasi. Anda dapat memilih Semua Pengguna atau Manual untuk parameter Otorisasi di tab SSO. Jika Anda memilih Manual untuk parameter Otorisasi, Anda harus memberikan izin berdasarkan akun atau organisasi di tab Authorize. Sebuah akun hanya dapat mengakses aplikasi setelah diberi izin akses.
Ketika menghubungkan aplikasi Security Assertion Markup Language (SAML) seperti Alibaba Cloud RAM, Anda dapat mengatur akun aplikasi di Single Sign-On. IDaaS mengirimkan nama pengguna akun IDaaS atau akun aplikasi yang ditentukan ke aplikasi. Aplikasi menemukan akun yang sesuai berdasarkan nama pengguna untuk menerapkan masuk. Jika ada akun yang tersedia, pastikan bahwa mereka sesuai dengan akun IDaaS. Jika tidak sesuai, Anda harus membuat akun di aplikasi terlebih dahulu. Untuk informasi lebih lanjut, lihat Deskripsi umum SSO.
Langkah 5: Konfigurasikan metode masuk
Di konsol IDaaS, klik Sign-In.
Aktifkan autentikasi delegasi AD.
Atur metode masuk pilihan (opsional).
Jika ingin menggunakan akun AD sebagai metode masuk default, atur Metode Autentikasi Utama menjadi akun AD.
Langkah 6: Mulai SSO
SSO yang dimulai oleh penyedia layanan (SP-initiated)
Buka halaman masuk Pengguna RAM, masukkan nama pengguna Pengguna RAM Anda, lalu klik Next.
Klik Login with Organization Account. Anda akan diarahkan ke halaman masuk IDaaS.
Jika Anda menetapkan akun AD sebagai metode masuk default, masukkan nama pengguna dan kata sandi yang sesuai. Jika tidak, klik ikon AD.
SSO yang dimulai oleh penyedia identitas (IdP-initiated)
Kunjungi portal pengguna IDaaS.
Jika Anda menetapkan akun AD sebagai metode masuk default, masukkan nama pengguna dan kata sandi yang sesuai. Jika tidak, klik ikon AD.
Di portal aplikasi IDaaS, klik ikon aplikasi untuk masuk ke aplikasi.