Proses Single Sign-On (SSO) melibatkan interaksi antara IDaaS dan aplikasi Anda, sehingga memerlukan konfigurasi di kedua sisi.
Dokumen ini menggunakan protokol SAML 2.0 untuk menjelaskan proses konfigurasi tersebut.
Untuk mempelajari protokol SSO yang didukung oleh IDaaS, lihat Protokol standar.
Konfigurasi IDaaS
Pintasan: Unggah file aplikasi
Beberapa aplikasi memungkinkan Anda mengunduh file metadata dari halaman konfigurasi SSO-nya dan mengunggahnya ke IDaaS. Aplikasi lain menyediakan titik akhir publik yang memungkinkan IDaaS menarik metadata konfigurasi tersebut.
Pada halaman konfigurasi SSO aplikasi di IDaaS, unggah file metadata atau masukkan URL metadata publik aplikasi. IDaaS secara otomatis mengambil informasi SSO yang diperlukan dan mengisi formulir secara otomatis. Tinjau nilai yang telah diisi sebelumnya, lalu simpan untuk menyelesaikan pengaturan.
Parameter konfigurasi IDaaS
Parameter | Deskripsi | Contoh | |
Pengaturan dasar (Wajib) | ACS URL | Assertion Consumer Service (ACS) URL aplikasi. Titik akhir ini menerima dan memproses pernyataan SAML dari IDaaS. | https://signin.example.com/1021*****4813/saml/SSO |
SP Entity ID | Identifier unik aplikasi, yaitu service provider (SP) entity ID. Nilai ini biasanya disediakan oleh aplikasi dan umumnya berupa URI. Jika aplikasi Anda tidak memerlukan nilai tertentu, Anda dapat menggunakan kembali ACS URL. | https://signin.example.com/1021*****4813/saml/SSO | |
NameID | Dalam protokol SAML, NameID merepresentasikan akun pengguna dalam aplikasi. Untuk informasi lebih lanjut, lihat Konfigurasi akun aplikasi SAML. | Pilih: Gunakan username IDaaS | |
Cakupan otorisasi | Untuk informasi lebih lanjut, lihat Ikhtisar single sign-on. | Pilih: Semua pengguna | |
Pengaturan lanjutan (Opsional) | Default RelayState | URL tempat aplikasi mengalihkan pengguna setelah SSO yang diinisiasi IdP berhasil. Alamat ini dikirimkan dalam parameter | |
NameID Format | Format bidang | Pilih: 1.1 Unspecified | |
Binding | Bidang | Pilih: | |
Sign assertion | IDaaS menandatangani semua pernyataan SAML. Pengaturan ini tidak dapat diubah. | - | |
Signing algorithm | Algoritma asimetris yang digunakan untuk menandatangani pernyataan. Saat ini hanya RSA-SHA256 yang didukung, sehingga Anda biasanya dapat mempertahankan pengaturan default. | Pilih: RSA-SHA256 | |
Attribute Statements | Dalam respons SAML, Anda dapat mengembalikan atribut pengguna tambahan, seperti email atau nama tampilan, agar dapat diurai oleh aplikasi. Untuk informasi lebih lanjut, lihat Spesifikasi nilai Attribute Statements SAML. | - | |
SSO initiator | Menentukan apakah SSO hanya dapat diinisiasi oleh aplikasi (SP-initiated SSO) atau juga dapat diinisiasi dari portal IDaaS (IdP-initiated SSO). | Hanya aplikasi | |
Login initiation URL | Jika SSO initiator diatur untuk mengizinkan IdP-initiated SSO, Anda dapat menentukan URL ini. Ketika pengguna memulai alur SSO dari portal, IDaaS akan mengalihkannya ke URL ini. Aplikasi pada URL tersebut kemudian harus secara otomatis memicu permintaan SAML ke IDaaS. | - |
Konfigurasi aplikasi
Pintasan: Unggah file IDaaS
Untuk menyederhanakan konfigurasi aplikasi, IDaaS menyediakan metadata konfigurasinya yang dapat diunduh dalam satu klik.
Pada halaman Informasi Konfigurasi Aplikasi, klik tautan Download di samping IdP Metadata untuk mengunduh file metadata SAML dari IDaaS.
Beberapa aplikasi mendukung impor metadata untuk konfigurasi SSO. Anda dapat mengunggah file konfigurasi IDaaS atau memasukkan URL metadata ke dalam aplikasi Anda guna menyelesaikan integrasi secara otomatis.
Parameter konfigurasi aplikasi
Untuk menyelesaikan integrasi, Anda harus mengonfigurasi aplikasi Anda dengan informasi dari IDaaS.
Tabel berikut menjelaskan parameter IDaaS yang diperlukan untuk konfigurasi aplikasi Anda.
Parameter | Deskripsi | Contoh |
IdP Entity ID | Identifier untuk IDaaS dalam aplikasi Anda. Anda mungkin perlu memasukkan nilai ini dalam konfigurasi SSO aplikasi Anda untuk mengidentifikasi IDaaS sebagai penyedia identitas (IdP). | https://xxxxx.aliyunidaas.com |
IdP Sign-in URL | Untuk SSO yang diinisiasi SP, aplikasi Anda menggunakan URL ini untuk mengalihkan pengguna ke IDaaS guna melakukan otentikasi. | https://xxxxx.aliyunidaas.com.cn/saml/idp/saml1 |
SLO URL | Titik akhir untuk single logout (SLO). Fitur ini saat ini tidak didukung oleh IDaaS. | - |
Public key certificate | IDaaS menandatangani secara digital pernyataan SAML yang dikirim ke aplikasi Anda. Aplikasi Anda menggunakan sertifikat kunci publik ini untuk memverifikasi signature, memastikan bahwa pernyataan tersebut autentik dan berasal dari IDaaS. | -----BEGIN CERTIFICATE----- MIIDEjCCAfqgAwIBAgIHAYnNmX60izANBgkqhkiG9w0BAQsFADApMRowGAYDVQQD..... |