Panduan ini menjelaskan cara mengonfigurasi Single Sign-On (SSO) untuk organisasi Anda di QoderWork CN dan Qoder CN CLI Enterprise Standard, yang mendukung protokol SAML 2.0 dan OIDC.
Ikhtisar
Single Sign-On (SSO) memungkinkan anggota organisasi Anda melakukan autentikasi melalui penyedia identitas (IdP) perusahaan tanpa memerlukan kredensial Qoder terpisah.
SAML 2.0: Standar berbasis XML yang matang untuk autentikasi enterprise, banyak digunakan oleh IdP seperti Okta, Microsoft Entra ID (sebelumnya Azure AD), OneLogin, dan Alibaba Cloud IDaaS.
OIDC (OpenID Connect): Protokol identitas modern yang dibangun di atas OAuth 2.0 dan menawarkan penemuan titik akhir otomatis melalui URL discovery. Penyedia umum mencakup Okta, Microsoft Entra ID, Google Workspace, Auth0, Authing, dan Alibaba Cloud RAM.
Manfaat SSO
Keamanan yang ditingkatkan: Autentikasi terpusat melalui penyedia identitas perusahaan Anda.
Pengalaman pengguna yang lebih baik: Akses semua aplikasi enterprise menggunakan satu set kredensial.
Manajemen pengguna yang disederhanakan: Secara otomatis membuat akun dan menambahkan pengguna ke organisasi Anda saat mereka pertama kali masuk dari domain yang telah diverifikasi.
Memilih protokol
Protokol | Kasus penggunaan |
SAML | IdP Anda hanya mendukung SAML; Anda memerlukan SSO yang diinisiasi oleh IdP; Anda memiliki sistem autentikasi enterprise berbasis SAML yang sudah ada. |
OIDC | IdP Anda mendukung OIDC atau OAuth 2.0; Anda ingin secara otomatis menemukan titik akhir menggunakan URL discovery; Anda lebih memilih metode integrasi ringan berbasis JSON. |
Satu organisasi hanya dapat mengaktifkan satu protokol SSO dalam satu waktu. Untuk mengganti protokol, Anda harus menonaktifkan konfigurasi saat ini terlebih dahulu sebelum membuat konfigurasi baru.
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki hal-hal berikut:
Izin administrator: Anda memiliki izin administrator dalam organisasi Anda.
Izin penyedia identitas: Anda memiliki izin untuk membuat dan mengonfigurasi aplikasi di IdP organisasi Anda.
Akses DNS: Anda memiliki izin untuk menambahkan Rekaman TXT ke domain email organisasi Anda guna verifikasi.
Proses konfigurasi
Proses konfigurasi SSO mencakup langkah-langkah berikut untuk SAML maupun OIDC:
Langkah 1: Verifikasi domain email Anda
Sebelum mengonfigurasi SSO, Anda harus memverifikasi kepemilikan domain email perusahaan Anda. Hal ini memastikan bahwa hanya pengguna dengan alamat email dari domain yang telah diverifikasi yang dapat masuk melalui SSO organisasi Anda. Untuk petunjuknya, lihat Verifikasi Domain.
Langkah 2: Buat konfigurasi SSO
Sebagai administrator, buka Organization Settings > Security & Identity.
Pilih SAML Settings atau OIDC Settings, tergantung pada IdP Anda.
SAML
Buat konfigurasi SAML untuk organisasi Anda. Sistem secara otomatis menghasilkan sertifikat SP dan kunci privat. Setelah inisialisasi, Qoder menyediakan informasi yang diperlukan untuk mengonfigurasi penyedia identitas Anda (IdP):
SP Entity ID
SP Metadata URL
SP ACS (Assertion Consumer Service) URL
SP Certificate and Private Key
Contoh informasi SP:
Bidang | Nilai contoh |
SP Entity ID |
|
SP Metadata URL |
|
SP ACS URL |
|
OIDC
Buat konfigurasi OIDC untuk organisasi Anda. Sistem secara otomatis menghasilkan Redirect URI dan Login URL, yang akan Anda perlukan saat mendaftarkan aplikasi OAuth 2.0/OIDC di IdP Anda. Contoh informasi SP:
Bidang | Nilai contoh |
Redirect URI |
|
Login URL |
|
Buka Konsol IdP Anda untuk membuat aplikasi OAuth 2.0/OIDC. Tambahkan Redirect URI ke daftar URI redirect yang diizinkan pada aplikasi tersebut. Setelah membuat aplikasi, IdP Anda akan mengeluarkan client ID dan client secret, yang akan Anda gunakan pada Langkah 3.
Langkah 3: Konfigurasi IdP
SAML
Anda dapat mengonfigurasi IdP SAML Anda menggunakan salah satu dari dua metode berikut:
Metode A: Konfigurasi otomatis (disarankan)
Jika IdP Anda menyediakan URL metadata, gunakan metode ini untuk konfigurasi otomatis:
Pada halaman SAML Settings, temukan bagian Identity Provider Metadata Configuration.
Pilih mode konfigurasi Import from URL.
Masukkan URL metadata IdP Anda (misalnya,
https://your-idp.example.com/app/metadata).Klik Save.
Sistem secara otomatis mengambil dan mengurai informasi berikut:
IDP Entity ID
SSO URL
Sertifikat penandatanganan
Metode B: Konfigurasi manual
Jika IdP Anda tidak menyediakan URL metadata, konfigurasikan pengaturan secara manual:
Pada halaman SAML Settings, pilih mode Manual Configuration.
Isi bidang-bidang berikut:
IdP Entity ID: Identifier entitas penyedia identitas Anda.
IdP SSO URL: URL titik akhir masuk SSO.
IdP Public Certificate: Sertifikat penandatanganan dalam format PEM (opsional, tetapi disarankan).
Klik Save.
OIDC
Anda dapat mengonfigurasi IdP OIDC Anda menggunakan salah satu dari dua metode berikut:
Metode A: Auto-discovery (disarankan)
Jika IdP Anda mematuhi spesifikasi OpenID Connect Discovery (artinya menyediakan titik akhir /.well-known/openid-configuration), gunakan metode ini:
Pada halaman OIDC Settings, pilih mode konfigurasi Issuer URL Auto-Discovery.
Isi bidang-bidang berikut:
Issuer URL: Alamat issuer IdP Anda (misalnya,
https://login.company.com,https://oauth.aliyun.com, atauhttps://your-tenant.authing.cn/oidc).Client ID: Client ID yang dikeluarkan IdP untuk aplikasi Qoder.
Client Secret: Client secret yang dikeluarkan IdP untuk aplikasi Qoder.
Scopes: (Opsional) Cakupan izin yang diminta. Nilai default mencakup
openid. Kami menyarankan menggunakanopenid email profile.
Klik Save.
Sistem secara otomatis mengambil dan mengurai informasi berikut dari {issuer URL}/.well-known/openid-configuration:
Authorization Endpoint
Token Endpoint
UserInfo Endpoint
JWKS URL (untuk memvalidasi signature Token ID)
Algoritma penandatanganan yang didukung
Metode B: Konfigurasi manual
Jika IdP Anda tidak mendukung discovery, isi detail berikut secara manual:
Issuer URL, Client ID, Client Secret, Scopes
JWKS URL: URL JSON Web Key Set, digunakan untuk memvalidasi signature Token ID.
End Session URL: (Opsional) Titik akhir pengakhiran sesi IdP untuk dialihkan saat logout.
Cakupan openid wajib digunakan dalam protokol OIDC. Jika tidak disediakan, sistem akan menambahkannya secara otomatis.
Langkah 4: Pemetaan atribut
SAML
Konfigurasikan pemetaan antara atribut SAML dan bidang sistem:
Pemetaan atribut
Jika IdP Anda menyediakan URL metadata, gunakan metode ini untuk konfigurasi otomatis:
Pada halaman SAML Settings, gulir ke bagian Attribute Mapping.
Konfigurasikan pemetaan antara atribut SAML dari IdP Anda dan bidang pengguna Qoder:
Masukkan URL metadata IdP Anda (misalnya,
https://your-idp.example.com/app/metadata).Klik Save.
Metode B: Konfigurasi Manual
OIDC
Pada halaman OIDC Settings, gulir ke bagian Attribute Mapping.
Konfigurasikan pemetaan antara klaim dalam UserInfo OIDC dan bidang sistem:
Email Claim: Nama klaim untuk email pengguna, biasanya
email. (Wajib)Name Claim: Nama klaim untuk nama tampilan pengguna, biasanya
nameataunickname.OpenID Claim: Klaim identifier unik untuk pengguna, biasanya
sub.emailjuga dapat digunakan.
Klik Save.
Email wajib disediakan: Tanggapan UserInfo dari IdP harus berisi alamat email yang valid, atau proses autentikasi akan gagal. Pastikan Anda telah memberikan cakupan email ke aplikasi Qoder dalam konfigurasi IdP Anda.
Langkah 5: Uji konfigurasi
Sebelum mengaktifkan SSO, uji konfigurasi untuk memastikan semua pengaturan sudah benar:
Pada halaman konfigurasi SSO, klik Test SSO.
Sistem menjalankan serangkaian pemeriksaan validasi (misalnya, sertifikat/signature, titik akhir metadata, dokumen discovery, dan pemetaan atribut).
Tinjau hasil pengujian.
Langkah 6: Aktifkan SSO
Setelah pengujian berhasil, Anda dapat mengaktifkan SSO:
Pada halaman konfigurasi SSO, pastikan semua pemeriksaan validasi telah lulus.
Nyalakan toggle Enable SSO.
Pada dialog konfirmasi, tinjau informasi dan aktifkan.
Setelah aktivasi:
Status SSO berubah menjadi Active.
Anggota organisasi kini dapat masuk menggunakan SSO SAML atau OIDC.
Setelah memasukkan email mereka di halaman masuk, pengguna dari domain yang telah diverifikasi akan secara otomatis dialihkan ke SSO organisasi Anda.
Setelah mengaktifkan SSO, administrator yang melakukan konfigurasi sebaiknya tidak keluar sesi. Sebaliknya, uji proses masuk menggunakan akun berbeda dari domain yang telah diverifikasi. Tindakan pencegahan ini memastikan administrator tetap dapat mengakses pengaturan jika diperlukan troubleshooting.