全部产品
Search

搜索本产品

    Resource Access Management:Contoh SSO berbasis peran dengan Microsoft Entra ID

    文档中心

    Resource Access Management:Contoh SSO berbasis peran dengan Microsoft Entra ID

    更新时间:Nov 11, 2025

    Topik ini menjelaskan cara mengonfigurasi SSO berbasis peran antara Microsoft Entra ID (sebelumnya Azure AD) dan Alibaba Cloud. Setelah konfigurasi selesai, pengguna di Microsoft Entra ID dapat menggunakan SSO SAML untuk masuk ke Alibaba Cloud dan sementara waktu mengasumsikan Peran RAM.

    Catatan

    Sebelum mengonfigurasi SSO berbasis peran di lingkungan Anda, pastikan Layanan Alibaba Cloud yang ingin digunakan mendukung Peran RAM. Untuk informasi selengkapnya, lihat Layanan Alibaba Cloud yang mendukung STS.

    Skenario

    Dalam contoh ini, sebuah perusahaan memiliki Akun Alibaba Cloud dan penyewa Microsoft Entra ID. Penyewa tersebut mencakup administrator dengan izin administrator global serta pengguna karyawan yang Nama Utama Penggunanya (UPN) adalah ssotest01@example.onmicrosoft.com. Tujuannya adalah mengonfigurasi SSO berbasis peran agar pengguna karyawan (ssotest01@example.onmicrosoft.com) dapat mengakses Alibaba Cloud setelah masuk ke Microsoft Entra ID.

    Catatan

    Mengonfigurasi SSO berbasis peran tidak memengaruhi proses masuk standar untuk Pengguna RAM. Pengguna tetap dapat masuk sebagai Pengguna RAM menggunakan kata sandi, SSO berbasis pengguna, atau metode masuk lainnya. Proses masuk melalui SSO berbasis peran harus dimulai dari IdP, yang dikenal sebagai IdP-initiated SSO. SSO berbasis peran tidak mendukung proses masuk yang diinisiasi SP dari Alibaba Cloud.

    Saat menggunakan SSO berbasis peran, Anda tidak perlu membuat pengguna yang sesuai di Alibaba Cloud terlebih dahulu. Setelah pengguna memulai proses masuk SSO dari IdP, Alibaba Cloud memungkinkan pengguna tersebut untuk sementara waktu mengasumsikan Peran RAM yang ditentukan dalam Pernyataan SAML.

    Untuk informasi selengkapnya mengenai perbedaan antara SSO berbasis pengguna dan SSO berbasis peran, lihat Perbandingan metode SSO.

    Persiapan

    • Diperlukan administrator RAM dengan izin AliyunRAMFullAccess untuk melakukan operasi di Konsol RAM. Untuk informasi selengkapnya tentang cara membuat Pengguna RAM dan memberikan izin, lihat Buat Pengguna RAM dan Berikan izin kepada Pengguna RAM.

    • Diperlukan administrator Microsoft Entra ID dengan peran Global Administrator untuk melakukan operasi di Microsoft Entra ID. Untuk informasi selengkapnya tentang cara membuat pengguna dan memberikan izin di Microsoft Entra ID, lihat Dokumentasi Microsoft Entra ID.

    Alur Konfigurasi

    Dalam contoh ini, Microsoft Entra ID berperan sebagai penyedia identitas (IdP) dan Alibaba Cloud RAM sebagai penyedia layanan (SP). Tugas konfigurasi utama adalah membangun hubungan kepercayaan bi-directional antara IdP dan SP, serta memetakan peran aplikasi di Microsoft Entra ID ke Peran RAM di Alibaba Cloud.

    1. Langkah 1: Buat aplikasi enterprise di Microsoft Entra ID. Buat aplikasi enterprise dari galeri aplikasi Microsoft Entra ID menggunakan templat aplikasi Alibaba Cloud Service (Role-based SSO).

    2. Langkah 2: Konfigurasi SAML di Microsoft Entra ID. Konfigurasikan SSO berbasis peran Alibaba Cloud sebagai Service Provider SAML tepercaya di Microsoft Entra ID.

    3. Langkah 3: Buat IdP di Alibaba Cloud. Konfigurasikan Microsoft Entra ID sebagai Identity Provider SAML tepercaya di Alibaba Cloud RAM.

    4. Langkah 4: Buat Peran RAM di Alibaba Cloud. Buat Peran RAM yang Principal-nya diatur ke Identity Provider di Alibaba Cloud RAM.

    5. Langkah 5: Buat peran aplikasi dan tetapkan pengguna di Microsoft Entra ID. Buat dan konfigurasikan peran aplikasi untuk aplikasi SSO berbasis peran Alibaba Cloud di Microsoft Entra ID, lalu tetapkan pengguna uji coba ke aplikasi enterprise tersebut.

    6. Langkah 6: Verifikasi proses masuk SSO. Verifikasi bahwa SSO berbasis peran berfungsi sebagaimana mestinya.

    Langkah 1: Buat aplikasi enterprise di Microsoft Entra ID

    1. Masuk ke Portal Azure sebagai administrator Microsoft Entra ID.

    2. Di pojok kiri atas halaman utama, klik ikon SSO_AAD_icon.

    3. Di panel navigasi sebelah kiri, buka Microsoft Entra ID > Manage > Enterprise Applications > All Applications.

    4. Klik New Application.

    5. Cari Alibaba Cloud Service (Role-based SSO) dan klik aplikasi tersebut.

    6. Masukkan nama untuk aplikasi tersebut dan klik Create.

      Dalam contoh ini, digunakan nama aplikasi default Alibaba Cloud Service (Role-based SSO). Anda juga dapat menentukan nama kustom.

    Langkah 2: Konfigurasi SAML di Microsoft Entra ID

    1. Di panel navigasi sebelah kiri pada halaman Alibaba Cloud Service (Role-based SSO), buka Manage > Single Sign-on.

    2. Klik SAML.

    3. Konfigurasikan informasi SSO.

      1. Di pojok kiri atas halaman, klik Upload Metadata File, pilih file metadata untuk SSO berbasis peran Alibaba Cloud, lalu klik Add.

        Catatan

        Anda dapat membuka jendela browser baru dan menggunakan URL berikut untuk mendapatkan file metadata: https://signin.alibabacloud.com/saml-role/sp-metadata.xml. Simpan file metadata XML tersebut ke komputer Anda.

      2. Pada halaman Basic SAML Configuration, konfigurasikan parameter berikut dan klik Save.

        • Identifier (Entity ID): Nilai entityID secara otomatis diisi dari file metadata yang Anda unggah pada langkah sebelumnya.

        • Reply URL (Assertion Consumer Service URL): Nilai Location secara otomatis diisi dari file metadata yang Anda unggah pada langkah sebelumnya.

        • Relay State: Halaman Alibaba Cloud tempat Anda dialihkan setelah berhasil masuk melalui SSO berbasis peran. Parameter ini bersifat opsional.

          Catatan

          Karena alasan keamanan, Anda hanya dapat menentukan URL domain Alibaba Cloud untuk Relay State, seperti *.aliyun.com, *.hichina.com, *.yunos.com, *.taobao.com, *.tmall.com, *.alibabacloud.com, dan *.alipay.com. Jika tidak, konfigurasi tidak akan berlaku. Jika Anda tidak mengonfigurasi parameter ini, Anda akan dialihkan ke halaman utama Konsol Manajemen Alibaba Cloud secara default.

      3. Di bagian Attributes & Claims, klik ikon 编辑 dan verifikasi bahwa dua claim berikut ada.

        image

        Jika tidak ada, klik Add New Claim dan tambahkan dua claim tersebut berdasarkan informasi dalam tabel berikut.

        Name

        Namespace

        Source

        Source Attribute

        Role

        https://www.aliyun.com/SAML-Role/Attributes

        Attribute

        user.assignedroles

        RoleSessionName

        https://www.aliyun.com/SAML-Role/Attributes

        Attribute

        user.userprincipalname

      4. Di bagian SAML Certificates, klik Download untuk Federation Metadata XML.

    Langkah 3: Buat IdP di Alibaba Cloud

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, buka Integrations > SSO.

    3. Pada tab Role-based SSO, klik tab SAML, lalu klik Create IdP.

    4. Pada halaman Create Identity Provider, atur Identity Provider Name menjadi AAD.

    5. Klik Upload dan unggah file Federation Metadata XML yang Anda unduh di Langkah 2: Konfigurasi SAML di Microsoft Entra ID.

    6. Klik Create Identity Provider.

    7. Klik IdP yang telah Anda buat, yaitu bernama AAD. Di bagian Basic Information, cari dan salin ARN IdP tersebut untuk digunakan nanti.

    Langkah 4: Buat Peran RAM di Alibaba Cloud

    1. Di panel navigasi sebelah kiri Konsol RAM, buka Identities > Roles.

    2. Pada halaman Roles, klik Create Role.

    3. Di pojok kanan atas halaman Create Role, klik Switch To Editor.

    4. Di editor, tentukan SAML IdP.

      Editor mendukung mode editor visual dan editor skrip. Anda dapat memilih salah satu mode. Topik ini menggunakan editor visual sebagai contoh. Di bagian Principal, pilih Identity Provider dan klik Edit. Kemudian, tentukan AAD sebagai IdP dan atur IdP Type menjadi SAML.

    5. Di kotak dialog Create Role, masukkan AADrole untuk Role Name, lalu klik OK untuk membuat peran tersebut.

    6. Klik Peran RAM yang telah Anda buat. Di bagian Basic Information, cari dan salin ARN peran tersebut untuk digunakan nanti.

    Catatan

    Anda dapat memberikan izin kepada Peran RAM sesuai kebutuhan. Untuk informasi selengkapnya, lihat Berikan izin kepada Peran RAM.

    Langkah 5: Buat peran aplikasi dan tetapkan pengguna di Microsoft Entra ID

    1. Buat peran di Microsoft Entra ID.

      1. Masuk ke Portal Azure sebagai administrator.

      2. Di panel navigasi sebelah kiri, buka Microsoft Entra ID > Manage > App Registrations.

      3. Klik tab All Applications, lalu klik Alibaba Cloud Service (Role-based SSO).

      4. Di panel navigasi sebelah kiri, buka Manage > App Roles.

      5. Klik Create App Role.

      6. Pada halaman Create App Role, konfigurasikan parameter peran berikut dan klik Apply.

        • Display Name: Masukkan Admin dalam contoh ini.

        • Allowed Member Types: Pilih Users/Groups + Applications dalam contoh ini.

        • Value: Masukkan ARN Peran RAM dan ARN IdP, dipisahkan dengan koma (,). Dalam contoh ini, masukkan acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD.

          Catatan

          Pastikan Anda memasukkan ARN dalam format ARN of RAM role,ARN of IdP. Urutan yang salah akan menyebabkan proses masuk SSO berbasis peran gagal.

        • Description: Masukkan deskripsi.

        • Pilih Do You Want To Enable This App Role?.

      Catatan

      Untuk membuat beberapa peran di Microsoft Entra ID, ulangi langkah-langkah di atas dan tentukan nama tampilan serta nilai peran aplikasi yang berbeda.

    2. Tetapkan pengguna ke aplikasi enterprise dan tentukan peran.

      1. Di panel navigasi sebelah kiri, buka Microsoft Entra ID > Manage > Enterprise Applications > All Applications.

      2. Di daftar Name, klik Alibaba Cloud Service (Role-based SSO).

      3. Di panel navigasi sebelah kiri, buka Manage > Users And Groups.

      4. Di pojok kiri atas, klik Add User/group.

      5. Pada halaman Add Assignment, pilih pengguna target dan klik Select.

      6. Pastikan peran yang dipilih adalah Admin. Jika tidak, pilih Admin. Lalu, klik Assign.

        Catatan

        Di lingkungan produksi, kami menyarankan Anda menambahkan pengguna ke kelompok pengguna di Microsoft Entra ID, lalu menetapkan kelompok pengguna tersebut ke aplikasi enterprise.

        Jika Anda memiliki beberapa peran, Anda dapat mengaitkan kelompok pengguna yang berbeda dengan peran yang berbeda. Misalnya, Anda dapat membuat kelompok ecs-admin dan mengaitkannya dengan peran ecs-admin, serta membuat kelompok oss-admin dan mengaitkannya dengan peran oss-admin. Hal ini memungkinkan kontrol izin detail halus dan manajemen pengguna yang efisien.

    Verifikasi proses masuk SSO

    SSO berbasis peran hanya mendukung SSO yang diinisiasi IdP. Oleh karena itu, Anda harus memulai proses masuk dari Microsoft Entra ID untuk memverifikasi hasilnya.

    1. Dapatkan URL akses pengguna.

      1. Masuk ke Portal Azure sebagai administrator.

      2. Di panel navigasi sebelah kiri, buka Microsoft Entra ID > Manage > Enterprise Applications > All Applications.

      3. Di daftar Name, klik Alibaba Cloud Service (Role-based SSO).

      4. Di panel navigasi sebelah kiri, buka Manage > Properties dan dapatkan User Access URL.

        用户访问URL

    2. Pengguna (ssotest01@example.onmicrosoft.com) mendapatkan User Access URL dari administrator, memasukkan URL tersebut ke browser, dan masuk menggunakan akun mereka. Setelah berhasil masuk, pengguna akan dialihkan ke Konsol Manajemen Alibaba Cloud secara default. Nama Peran RAM yang Anda definisikan (aadrole) ditampilkan sebelum nama akun.

      74AD0757-1D76-4AA9-BE1B-CEA53CD9219A

      Sistem secara otomatis melakukan SSO dan mengalihkan Anda ke halaman yang Anda tentukan untuk Relay State. Jika Anda tidak menentukan halaman untuk Relay State atau halaman yang ditentukan berada di luar cakupan yang diizinkan, Anda akan dialihkan ke halaman utama Konsol Manajemen Alibaba Cloud.

    Tingkat Lanjut: Konfigurasi SSO berbasis peran dari Microsoft Entra ID ke beberapa Akun Alibaba Cloud

    Bagian ini menjelaskan cara mengonfigurasi SSO berbasis peran agar pengguna karyawan (ssotest01@example.onmicrosoft.com) dapat mengakses dua Akun Alibaba Cloud (Account1 dan Account2) setelah masuk ke Microsoft Entra ID.

    1. Tambahkan aplikasi Alibaba Cloud Service (Role-based SSO) dari galeri Microsoft Entra ID.

    2. Konfigurasi SSO Microsoft Entra ID.

      Untuk informasi selengkapnya, lihat Langkah 2: Konfigurasi SAML di Microsoft Entra ID.

    3. Buat IdP di Alibaba Cloud.

      Anda harus membuat IdP bernama AAD di kedua Akun Alibaba Cloud (Account1 dan Account2).

      Untuk informasi selengkapnya mengenai prosedur untuk setiap Akun Alibaba Cloud, lihat Langkah 3: Buat IdP di Alibaba Cloud.

    4. Buat Peran RAM di Alibaba Cloud.

      Anda harus membuat Peran RAM di kedua Akun Alibaba Cloud (Account1 dan Account2). Dalam contoh ini, kami mengasumsikan bahwa dua Peran RAM dibuat di Account1 dan satu Peran RAM dibuat di Account2. Peran-peran tersebut adalah sebagai berikut:

      • Peran RAM di Account1: adminaad dan readaad.

      • Peran RAM di Account2: financeaad.

      Untuk informasi selengkapnya mengenai prosedur untuk setiap Akun Alibaba Cloud, lihat Langkah 4: Buat Peran RAM di Alibaba Cloud.

    5. Kaitkan Peran RAM Alibaba Cloud dengan pengguna Microsoft Entra ID.

      Buat tiga peran aplikasi di Microsoft Entra ID dan tetapkan ketiga peran tersebut ke pengguna (ssotest01@example.onmicrosoft.com). Nilai untuk ketiga peran tersebut adalah sebagai berikut:

      • acs:ram::<Account1_ID>:role/adminaad,acs:ram::<Account1_ID>:saml-provider/AAD

      • acs:ram::<Account1_ID>:role/readaad,acs:ram::<Account1_ID>:saml-provider/AAD

      • acs:ram::<Account2_ID>:role/financeaad,acs:ram::<Account2_ID>:saml-provider/AAD

      Untuk informasi selengkapnya, lihat Langkah 5: Buat peran aplikasi dan tetapkan pengguna di Microsoft Entra ID.

    6. Pengguna Microsoft Entra ID mengakses Alibaba Cloud menggunakan SSO berbasis peran.

      Pengguna (ssotest01@example.onmicrosoft.com) masuk ke halaman My Apps di Azure dan mengklik aplikasi Alibaba Cloud Service (Role-based SSO). Di antarmuka Alibaba Cloud, pengguna kemudian diminta untuk memilih Akun Alibaba Cloud (Account1 atau Account2) dan peran untuk mengakses Alibaba Cloud menggunakan SSO berbasis peran.

    Pemecahan Masalah

    Untuk informasi selengkapnya, lihat FAQ SSO.