全部产品
Search

搜索本产品

    Identity as a Service:Konfigurasi SSO Berbasis SAML 2.0

    文档中心

    Identity as a Service:Konfigurasi SSO Berbasis SAML 2.0

    更新时间:Jun 28, 2025

    Proses single sign-on (SSO) memerlukan interaksi antara Identity as a Service (IDaaS) dan aplikasi. Anda harus mengonfigurasi pengaturan SSO di kedua ujungnya.

    Dalam topik ini, protokol Bahasa Markup Penegasan Keamanan 2.0 (SAML 2.0) digunakan sebagai contoh untuk menjelaskan cara mengonfigurasi SSO.

    Catatan

    Untuk informasi lebih lanjut tentang protokol SSO yang didukung oleh IDaaS, lihat 2. Protokol standar.

    Konfigurasi di IDaaS

    Unggah file konfigurasi aplikasi

    Beberapa aplikasi memungkinkan Anda mengunduh metadata informasi konfigurasi dari halaman konfigurasi SSO aplikasi tersebut. Dalam kasus ini, Anda dapat langsung mengunggah data yang diunduh ke IDaaS. Beberapa aplikasi juga menyediakan API publik yang memungkinkan IDaaS menarik metadata informasi konfigurasi.

    IDaaS mengambil semua informasi yang diperlukan untuk mengonfigurasi SSO dan mengisi formulir terkait secara otomatis. Anda hanya perlu mengonfirmasi dan menyimpan informasi yang telah diisi sebelumnya.

    Parameter IDaaS

    Parameter

    Deskripsi

    Contoh

    Pengaturan dasar (wajib)

    URL ACS

    URL yang mengarahkan IDaaS ke mana harus mengirim respons SAML setelah IDaaS mengotentikasi pengguna.

    https://signin.example.com/1021*****4813/saml/SSO

    ID Entitas SP

    Pengenal unik global dari aplikasi di IDaaS. Dalam banyak kasus, pengenal tersebut adalah URI yang dapat diperoleh dari aplikasi. Jika aplikasi tidak memiliki persyaratan khusus, Anda dapat menetapkan nilainya menjadi URL Assertion Consumer Service (ACS).

    https://signin.example.com/1021*****4813/saml/SSO

    Pengguna Aplikasi

    Parameter NameID yang didefinisikan dalam protokol SAML. Untuk informasi lebih lanjut, lihat Konfigurasikan Pengguna Aplikasi untuk SAML.

    Nama Pengguna Pengguna IDaaS

    Otorisasi

    Untuk informasi lebih lanjut, lihat Konfigurasikan SSO.

    Semua Pengguna

    Pengaturan lanjutan (opsional)

    Default RelayState

    Alamat ke mana aplikasi secara otomatis mengalihkan setelah Single Sign-On (SSO) yang dimulai oleh penyedia identitas (IdP-initiated) berhasil. Dalam respons SAML, alamat tersebut dilewatkan ke parameter RelayState. Setelah aplikasi membaca alamat tersebut, Anda akan dialihkan ke alamat tersebut.

    Halaman menu tingkat-2 di aplikasi

    NameIDFormat

    Format parameter NameID yang didefinisikan dalam respons SAML. Parameter NameIDFormat tidak ditentukan untuk banyak aplikasi. Anda tidak perlu memodifikasi parameter ini.

    1.1 Tidak Ditentukan

    Binding

    Metode permintaan. Hanya Redirect-POST yang didukung. Anda tidak perlu memodifikasi parameter ini.

    Redirect-POST

    Tandatangani Assertion

    IDaaS menandatangani semua permintaan SAML. Anda tidak dapat memodifikasi parameter ini.

    -

    Algoritma Penandatanganan

    Algoritma asimetris yang digunakan untuk menandatangani permintaan SAML. Hanya RSA-SHA256 yang didukung. Anda tidak perlu memodifikasi parameter ini.

    RSA-SHA256

    Pernyataan Atribut

    Respons SAML dapat berisi informasi tambahan tentang pengguna, seperti atribut email dan nama. Untuk informasi lebih lanjut, lihat Aturan untuk mengonfigurasi Pernyataan Atribut SAML.

    -

    SSO Diimplementasikan Oleh

    Menentukan apakah SSO dapat dimulai hanya dari aplikasi atau dari portal dan aplikasi.

    Hanya Aplikasi

    URL Masuk IDaaS

    Jika parameter SSO Diimplementasikan Oleh disetel ke IDaaS & Aplikasi, Anda dapat menentukan parameter ini. Saat Anda mengakses aplikasi dari portal, Anda akan dialihkan ke URL ini, dan permintaan logon SAML secara otomatis dikirim ke IDaaS.

    -

    Konfigurasi di aplikasi

    Unggah file konfigurasi IDaaS

    Untuk mempermudah konfigurasi aplikasi, IDaaS memungkinkan Anda mengunduh metadata konfigurasi dengan beberapa klik.

    Saat mengonfigurasi SSO di beberapa aplikasi, Anda dapat langsung mengunggah metadata tersebut. Anda dapat mengunggah file konfigurasi yang diunduh dari IDaaS atau memasukkan alamat metadata di aplikasi Anda. Tidak diperlukan konfigurasi parameter secara manual.

    Parameter aplikasi

    Anda harus menentukan informasi IDaaS di aplikasi Anda untuk integrasi.

    IDaaS menampilkan informasi yang mungkin diperlukan oleh aplikasi pada halaman konfigurasi SSO, sehingga mempermudah proses konfigurasi. Tabel berikut menjelaskan parameter yang digunakan.

    Parameter

    Deskripsi

    Contoh

    ID Entitas IDP

    Pengenal IDaaS di aplikasi. Anda mungkin perlu memasukkan pengenal tersebut di halaman konfigurasi SSO aplikasi.

    https://xxxxx.aliyunidaas.com

    URL Masuk IdP

    Protokol SAML mendukung Single Sign-On (SSO) yang dimulai oleh penyedia layanan (SP-initiated). Anda mungkin perlu memasukkan URL tersebut di halaman konfigurasi SSO aplikasi.

    https://xxxxx.aliyunidaas.com.cn/saml/idp/saml1

    (Tidak didukung)

    URL SLO

    Protokol SAML mendukung single logout (SLO). Jika Anda ingin menggunakan fitur ini, Anda harus memasukkan URL tersebut di halaman konfigurasi SSO aplikasi.

    -

    Sertifikat

    Tanda tangan elektronik dalam hasil SSO yang dikirim oleh IDaaS. Aplikasi dapat menggunakan kunci publik yang diperlukan untuk memverifikasi tanda tangan dan memeriksa apakah hasil tersebut dikirim oleh IDaaS. Ini membantu memastikan keamanan.

    -----BEGIN CERTIFICATE-----

    MIIDEjCCAfqgAwIBAgIHAYnNmX60izANBgkqhkiG9w0BAQsFADApMRowGAYDVQQD.....