All Products
Search

This Product

    Resource Access Management:Konfigurasikan SSO berbasis peran dari Microsoft Entra ID

    Document Center

    Resource Access Management:Konfigurasikan SSO berbasis peran dari Microsoft Entra ID

    Last Updated:Mar 04, 2026

    Panduan cepat ini memandu Anda melalui proses konfigurasi Single Sign-On (SSO) berbasis peran dari Microsoft Entra ID (sebelumnya Azure AD) ke Alibaba Cloud. Setelah dikonfigurasi, pengguna dalam tenant Microsoft Entra ID dapat menggunakan SSO berbasis SAML untuk masuk ke Alibaba Cloud dan sementara mengasumsikan peran Resource Access Management (RAM).

    Catatan

    Sebelum memulai, pastikan layanan Alibaba Cloud yang ingin Anda akses mendukung Security Token Service (STS).

    Informasi latar belakang

    Dalam contoh ini, sebuah perusahaan memiliki satu akun Alibaba Cloud dan satu tenant Microsoft Entra ID. Tenant tersebut mencakup administrator dengan izin Global Administrator serta pengguna karyawan yang memiliki User Principal Name (UPN) ssotest01@example.onmicrosoft.com. Anda ingin mengonfigurasi SSO berbasis peran agar pengguna karyawan (ssotest01@example.onmicrosoft.com) dapat mengakses Alibaba Cloud setelah masuk ke Microsoft Entra ID.

    Catatan

    Mengonfigurasi SSO berbasis peran tidak memengaruhi login standar untuk pengguna RAM. Artinya, pengguna tetap dapat menggunakan kredensial dari penyedia identitas (IdP) untuk masuk ke Alibaba Cloud melalui SSO berbasis peran atau login langsung sebagai pengguna RAM menggunakan kata sandi, SSO berbasis pengguna, atau metode lainnya. Untuk login menggunakan SSO berbasis peran, proses harus dimulai dari IdP, yang dikenal sebagai IdP-initiated SSO. SSO berbasis peran tidak mendukung login yang dimulai dari service provider (SP), yaitu Alibaba Cloud.

    Perlu diperhatikan bahwa Anda tidak perlu membuat pengguna yang sesuai di Alibaba Cloud untuk setiap pengguna di IdP. Saat pengguna memulai SSO dari IdP, Alibaba Cloud memungkinkan pengguna tersebut sementara mengasumsikan peran RAM yang ditentukan dalam pernyataan SAML untuk mengakses resource.

    Untuk perbandingan mendetail antara SSO berbasis pengguna dan SSO berbasis peran, lihat Ikhtisar SSO.

    Prasyarat

    • Administrator Resource Access Management (RAM) dengan kebijakan AliyunRAMFullAccess yang dilampirkan. Untuk informasi tentang cara membuat pengguna RAM dan memberikan izin, lihat Buat pengguna RAM dan Berikan izin kepada pengguna RAM.

    • Pengguna Microsoft Entra ID dengan peran Global Administrator. Untuk informasi tentang cara membuat pengguna dan menetapkannya sebagai administrator, lihat dokumentasi resmi Microsoft Entra ID.

    Prosedur

    Dalam contoh ini, Microsoft Entra ID berperan sebagai IdP dan Alibaba Cloud sebagai SP. Langkah-langkah berikut memungkinkan Anda membangun hubungan kepercayaan timbal balik antara IdP dan SP, serta memetakan peran aplikasi di Microsoft Entra ID ke peran RAM di Alibaba Cloud.

    1. Langkah 1: Buat aplikasi enterprise di Microsoft Entra ID: Buat aplikasi enterprise dari Galeri Aplikasi Microsoft Entra ID menggunakan templat Alibaba Cloud Service (Role-based SSO).

    2. Langkah 2: Konfigurasikan SAML di Microsoft Entra ID: Konfigurasikan SSO berbasis peran Alibaba Cloud sebagai SP SAML tepercaya di Microsoft Entra ID.

    3. Langkah 3: Buat IdP di Alibaba Cloud: Konfigurasikan Microsoft Entra ID sebagai IdP SAML tepercaya di RAM Alibaba Cloud.

    4. Langkah 4: Buat peran RAM di Alibaba Cloud: Buat peran RAM di RAM Alibaba Cloud dan atur jenis principal-nya menjadi Identity Provider.

    5. Langkah 5: Buat peran aplikasi dan tetapkan pengguna di Microsoft Entra ID: Buat dan konfigurasikan peran aplikasi untuk aplikasi Alibaba Cloud Service (Role-based SSO) di Microsoft Entra ID, lalu tetapkan pengguna perusahaan ke aplikasi tersebut.

    6. Verifikasi SSO: Verifikasi bahwa SSO berbasis peran berfungsi sebagaimana mestinya.

    Langkah 1: Buat aplikasi enterprise di Microsoft Entra ID

    1. Masuk ke Azure portal sebagai administrator global Microsoft Entra ID.

    2. Di pojok kiri atas halaman utama, klik ikon SSO_AAD_icon.

    3. Di panel navigasi sebelah kiri, pilih Microsoft Entra ID > Manage > Enterprise applications > All applications.

    4. Klik New application.

    5. Cari dan pilih Alibaba Cloud Service (Role-based SSO).

    6. Masukkan nama untuk aplikasi, lalu klik Create.

      Contoh ini menggunakan nama default Alibaba Cloud Service (Role-based SSO). Anda juga dapat menentukan nama kustom.

    Langkah 2: Konfigurasikan SAML di Microsoft Entra ID

    1. Di halaman detail Alibaba Cloud Service (Role-based SSO), di panel navigasi sebelah kiri, pilih Manage > Single sign-on.

    2. Klik SAML.

    3. Konfigurasikan pengaturan SSO.

      1. Di pojok kiri atas, klik Upload metadata file, pilih file metadata untuk SSO berbasis peran Alibaba Cloud, lalu klik Add.

        Catatan

        Untuk mendapatkan file metadata, buka https://signin.alibabacloud.com/saml-role/sp-metadata.xml di browser dan simpan file XML ke komputer Anda.

      2. Di halaman Basic SAML Configuration, konfigurasikan parameter berikut, lalu klik Save.

        • Identifier (Entity ID): Sistem secara otomatis membaca nilai ini dari atribut entityID dalam file metadata.

        • Reply URL (Assertion Consumer Service URL): Sistem secara otomatis membaca nilai ini dari atribut Location dalam file metadata.

        • Relay State (opsional): Menentukan halaman tempat pengguna dialihkan setelah masuk ke Konsol Manajemen Alibaba Cloud melalui SSO.

          Catatan

          Untuk alasan keamanan, Anda hanya dapat memasukkan URL dengan nama domain milik Alibaba sebagai nilai Relay State, seperti *.aliyun.com, *.hichina.com, *.yunos.com, *.taobao.com, *.tmall.com, *.alibabacloud.com, atau *.alipay.com. Jika tidak, konfigurasi tidak valid. Jika Anda tidak mengatur parameter ini, sistem akan mengalihkan pengguna ke halaman utama Konsol Manajemen Alibaba Cloud secara default.

      3. Di bagian Attributes & Claims, klik ikon 编辑 untuk memverifikasi bahwa dua claim berikut ada.

        image

        Jika tidak ada, klik Add new claim dan tambahkan dengan menggunakan informasi pada tabel berikut.

        Name

        Namespace

        Source

        Source attribute

        Role

        https://www.aliyun.com/SAML-Role/Attributes

        Attribute

        user.assignedroles

        RoleSessionName

        https://www.aliyun.com/SAML-Role/Attributes

        Attribute

        user.userprincipalname

      4. Di bagian SAML Certificates, klik Download di sebelah kanan Federation Metadata XML untuk mengunduh file metadata IdP.

    Langkah 3: Buat IdP di Alibaba Cloud

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Integrations > SSO.

    3. Di tab Role-based SSO, klik subtab SAML dan klik Create IdP.

    4. Di halaman Create IdP, masukkan AAD untuk IdP Name.

    5. Klik Upload Metadata File dan pilih Federation Metadata XML file yang telah Anda unduh di Langkah 2.

    6. Klik Create IdP.

    7. Klik IdP AAD yang telah Anda buat. Di bagian Basic Information, salin ARN IdP untuk digunakan nanti.

    Langkah 4: Buat peran RAM di Alibaba Cloud

    1. Masuk ke Konsol RAM. Di panel navigasi sebelah kiri, pilih Identities > Roles.

    2. Di halaman Roles, klik Create Role.

    3. Di pojok kanan atas halaman Create Role, klik Switch to Policy Editor.

    4. Tentukan SAML IdP di editor.

      Editor mendukung editor visual dan editor skrip JSON. Anda dapat menggunakan salah satunya. Contoh ini menggunakan editor visual. Untuk Principal, pilih Identity Provider dan klik Edit. Lalu, tentukan AAD sebagai IdP dan pilih SAML untuk Identity Provider Type.

    5. Di kotak dialog Create Role, masukkan nama peran (misalnya AADrole), lalu klik OK.

    6. Klik peran RAM yang telah Anda buat. Di bagian Basic Information, salin ARN peran untuk digunakan nanti.

    Catatan

    Anda dapat memberikan izin kepada peran RAM sesuai kebutuhan. Untuk informasi lebih lanjut, lihat Kelola izin untuk peran RAM.

    Langkah 5: Buat peran aplikasi dan tetapkan pengguna di Microsoft Entra ID

    1. Buat peran aplikasi di Microsoft Entra ID.

      1. Masuk ke Azure portal sebagai administrator.

      2. Di panel navigasi sebelah kiri, pilih Microsoft Entra ID > Manage > App registrations.

      3. Klik tab All applications, lalu klik Alibaba Cloud Service (Role-based SSO).

      4. Di panel navigasi sebelah kiri, pilih Manage > App roles.

      5. Di halaman yang muncul, klik Create app role.

      6. Di panel Create app role, konfigurasikan parameter berikut dan klik Apply.

        • Display name: Dalam contoh ini, masukkan Admin.

        • Allowed member types: Dalam contoh ini, pilih Both (Users/Groups + Applications).

        • Value: Masukkan ARN peran RAM dan ARN IdP. Pisahkan ARN dengan koma (,). Dalam contoh ini, masukkan acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD.

          Catatan

          Nilai harus menggunakan format RAM role ARN,IdP ARN. Urutan yang salah akan menyebabkan SSO gagal.

        • Description: Masukkan deskripsi untuk peran aplikasi.

        • Pilih Do you want to enable this app role?

      Catatan

      Jika Anda perlu membuat beberapa peran aplikasi di Microsoft Entra ID, ulangi langkah-langkah sebelumnya dan atur nama tampilan serta nilai peran aplikasi yang berbeda.

    2. Tetapkan pengguna ke aplikasi enterprise dan tentukan peran aplikasi.

      1. Di panel navigasi sebelah kiri, pilih Microsoft Entra ID > Manage > Enterprise applications > All applications.

      2. Di kolom Name, klik Alibaba Cloud Service (Role-based SSO).

      3. Di panel navigasi sebelah kiri, pilih Manage > Users and Groups.

      4. Di halaman yang muncul, klik Add user/group.

      5. Di halaman Add Assignment, pilih pengguna dan klik Select.

      6. Periksa apakah peran yang dipilih adalah Admin. Jika tidak, ubah peran menjadi Admin. Lalu, klik Assign.

        Catatan

        Merupakan praktik terbaik untuk menambahkan pengguna ke grup di Microsoft Entra ID, lalu menetapkan grup tersebut ke aplikasi enterprise.

        Jika Anda telah mengonfigurasi beberapa peran aplikasi, Anda dapat mengaitkan grup pengguna yang berbeda dengan peran yang berbeda (misalnya, kaitkan grup ecs-admin dengan peran ecs-admin dan grup oss-admin dengan peran oss-admin). Hal ini memungkinkan kontrol akses yang lebih terperinci dan manajemen pengguna yang lebih efisien.

    Verifikasi SSO

    SSO berbasis peran hanya mendukung IdP-initiated SSO. Oleh karena itu, Anda harus masuk dari Microsoft Entra ID untuk memverifikasi konfigurasi.

    1. Dapatkan URL akses pengguna.

      1. Masuk ke Azure portal sebagai administrator.

      2. Di panel navigasi sebelah kiri, pilih Microsoft Entra ID > Manage > Enterprise applications > All applications.

      3. Di kolom Name, klik Alibaba Cloud Service (Role-based SSO).

      4. Di panel navigasi sebelah kiri halaman yang muncul, pilih Manage > Properties dan dapatkan nilai User access URL.

        用户访问URL

    2. Pengguna (ssotest01@example.onmicrosoft.com) mendapatkan User access URL dari administrator. Di browser, pengguna memasukkan URL tersebut dan masuk dengan akun mereka. Setelah login berhasil, mereka dialihkan ke Konsol Manajemen Alibaba Cloud secara default. Peran RAM (aadrole) yang telah Anda definisikan muncul sebelum nama akun.

      74AD0757-1D76-4AA9-BE1B-CEA53CD9219A

      Sistem secara otomatis melakukan SSO dan mengalihkan Anda ke halaman yang ditentukan untuk Relay State. Jika Relay State tidak ditentukan atau nilainya bukan URL dengan nama domain milik Alibaba, sistem akan mengalihkan Anda ke halaman utama Konsol Manajemen Alibaba Cloud.

    Lanjutan: Konfigurasikan SSO berbasis peran antara Microsoft Entra ID dan beberapa akun Alibaba Cloud

    Asumsikan Anda memiliki dua akun Alibaba Cloud (Account1 dan Account2). Anda ingin mengonfigurasi SSO sehingga pengguna karyawan (ssotest01@example.onmicrosoft.com) dapat masuk ke Microsoft Entra ID dan menggunakan SSO berbasis peran untuk mengakses Account1 dan Account2.

    1. Di Galeri Aplikasi Microsoft Entra, tambahkan aplikasi Alibaba Cloud Service (Role-based SSO)

    2. Konfigurasikan SSO Microsoft Entra ID.

      Untuk informasi lebih lanjut, lihat Langkah 2: Konfigurasikan SAML di Microsoft Entra ID.

    3. Buat IdP di Alibaba Cloud.

      Anda harus membuat IdP bernama AAD di masing-masing dua akun Alibaba Cloud (Account1 dan Account2).

      Untuk informasi lebih lanjut, lihat Langkah 3: Buat IdP di Alibaba Cloud.

    4. Buat peran RAM di Alibaba Cloud.

      Anda harus membuat peran RAM di masing-masing dua akun Alibaba Cloud. Untuk contoh ini, asumsikan Anda membuat dua peran RAM di Account1 dan satu peran RAM di Account2. Detailnya sebagai berikut:

      • Peran RAM untuk Account1: adminaad dan readaad.

      • Peran RAM untuk Account2: financeaad.

      Untuk informasi lebih lanjut, lihat Langkah 4: Buat peran RAM di Alibaba Cloud.

    5. Kaitkan peran RAM Alibaba Cloud dengan pengguna Microsoft Entra ID.

      Buat tiga peran aplikasi di Microsoft Entra ID dan tetapkan ke pengguna (ssotest01@example.onmicrosoft.com). Nilai untuk ketiga peran tersebut adalah:

      • acs:ram::<Account1_ID>:role/adminaad,acs:ram::<Account1_ID>:saml-provider/AAD

      • acs:ram::<Account1_ID>:role/readaad,acs:ram::<Account1_ID>:saml-provider/AAD

      • acs:ram::<Account2_ID>:role/financeaad,acs:ram::<Account2_ID>:saml-provider/AAD

      Untuk informasi lebih lanjut, lihat Langkah 5: Buat peran aplikasi dan tetapkan pengguna di Microsoft Entra ID.

    6. Akses Alibaba Cloud menggunakan SSO berbasis peran sebagai pengguna Microsoft Entra ID.

      Pengguna (ssotest01@example.onmicrosoft.com) masuk ke halaman My Apps di Azure dan klik aplikasi Alibaba Cloud Service (Role-based SSO). Di halaman Alibaba Cloud, sistem akan meminta pengguna untuk memilih akun Alibaba Cloud (Account1 atau Account2) dan peran yang akan diasumsikan. Pengguna kemudian dapat mengakses Konsol Manajemen Alibaba Cloud melalui SSO berbasis peran.

    Pemecahan Masalah

    Lihat FAQ tentang SSO.