Resource Access Management:Contoh: Konfigurasikan SSO berbasis peran dengan Okta

Prosedur

Tujuan konfigurasi ini adalah membuat atribut bernama approle dalam aplikasi Okta yang memetakan pengguna ke peran Resource Access Management (RAM) tertentu di Alibaba Cloud. Ikuti prosedur pada gambar berikut untuk mengonfigurasi Alibaba Cloud dan Okta.

Langkah 1: Buat aplikasi SAML SSO di Okta

1. Masuk ke portal Okta.

2. Di pojok kanan atas halaman, klik ikon akun Anda, lalu klik Your Org.

3. Di panel navigasi, pilih Applications > Applications.

4. Pada halaman Applications, klik Create App Integration.

5. Pada kotak dialog Create a new app integration, pilih SAML 2.0, lalu klik Next.

6. Atur nama aplikasi menjadi role-sso-test, lalu klik Next.

7. Konfigurasikan pengaturan SAML, lalu klik Next.

   • Single sign-on URL: https://signin.alibabacloud.com/saml-role/sso.

   • Audience URI (SP Entity ID): urn:alibaba:cloudcomputing:international.

   • Default RelayState: Tentukan halaman Alibaba Cloud tempat pengguna dialihkan setelah berhasil masuk.

     Catatan

     Demi keamanan, Anda hanya dapat memasukkan URL domain milik Alibaba sebagai nilai Default RelayState, seperti *.aliyun.com, *.hichina.com, *.yunos.com, *.taobao.com, *.tmall.com, *.alibabacloud.com, dan *.alipay.com. Jika Anda memasukkan URL yang tidak valid, konfigurasi tidak akan berlaku. Jika parameter ini dibiarkan kosong, pengguna akan dialihkan ke beranda Konsol Manajemen Alibaba Cloud secara default.

   • Name ID format: Pilih EmailAddress.

   • Application username: Pilih Email.

   • Update application username on: Pertahankan nilai default.

8. Pada halaman Feedback, pilih jenis aplikasi, lalu klik Finish.

Langkah 2: Dapatkan metadata SAML IdP dari Okta

1. Pada halaman detail aplikasi role-sso-test, klik tab Sign On.

2. Di bagian SAML 2.0, salin Metadata URL dan simpan metadata IdP ke file lokal.

Langkah 3: Buat SAML IdP di Alibaba Cloud

1. Masuk ke Konsol RAM sebagai administrator RAM.

2. Di panel navigasi, pilih Integrations > SSO.

3. Pada tab Role-based SSO, klik tab SAML, lalu klik Create IdP.

4. Pada halaman Create IdP, masukkan IdP Name seperti okta-provider dan Note.

5. Di bagian Metadata File, klik Upload Metadata File dan unggah metadata IdP yang Anda peroleh di Langkah 2: Dapatkan metadata SAML IdP dari Okta.

6. Klik Create IdP.

Langkah 4: Buat peran RAM di Alibaba Cloud

1. Di panel navigasi Konsol RAM, pilih Identities > Roles.

2. Pada halaman Roles, klik Create Role.

3. Di pojok kanan atas panel Create Role, klik Switch to Policy Editor.

4. Tentukan penyedia identitas SAML di editor.

   Editor mendukung editor visual dan editor skrip. Anda dapat menggunakan salah satunya. Misalnya, di editor visual, Anda harus menentukan penyedia identitas yang dibuat di Langkah 3: Buat penyedia identitas SAML di Alibaba Cloud pada bidang Principal, dan pilih SAML untuk IdP Type.

5. Di editor, atur Condition saml:recipient menjadi https://signin.alibabacloud.com/saml-role/sso.

6. Pada kotak dialog Create Role, masukkan Role Name seperti admin, lalu klik OK.

Langkah 5: Konfigurasikan profil aplikasi di Okta

1. Edit profil untuk menambahkan atribut baru.

   1. Di panel navigasi, pilih Directory > Profile Editor.

   2. Cari dan klik nama aplikasi role-sso-test.

   3. Pada halaman Profile Editor, di bagian Attributes, klik Add Attribute.

   4. Pada kotak dialog Add Attribute, konfigurasikan informasi atribut.

      • Data type: Pilih string.

      • Display name: Masukkan nama yang ditampilkan di UI. Dalam contoh ini, masukkan approle.

      • Variable name: Masukkan nama variabel yang dirujuk dalam pemetaan. Dalam contoh ini, masukkan approle. Catat nilai ini untuk digunakan nanti.

      • Description: Masukkan deskripsi untuk atribut. Parameter ini opsional.

      • Enum: Pilih Define enumerated list of values.

        Catatan

        Menggunakan Enum membatasi nilai atribut ke daftar yang telah ditentukan. Anda dapat melewatkan opsi ini untuk fleksibilitas lebih besar.

      • Attribute members: Masukkan daftar nilai enumerasi. Value harus sesuai dengan nama peran RAM yang telah Anda buat, misalnya admin atau reader.

      • Attribute Length: Pengaturan ini tidak diperlukan untuk contoh ini karena menggunakan enumerasi. Jika Anda tidak menggunakan enumerasi, atur panjang atribut sesuai kebutuhan.

      • Attribute required: Pilih Yes.

      • Scope: Hapus centang User personal.

   5. Klik Save.

2. Konfigurasikan pernyataan atribut.

   1. Di panel navigasi, pilih Applications > Applications.

   2. Klik nama aplikasi role-sso-test.

   3. Pada tab General, di bagian SAML Settings, klik Edit.

   4. Pada halaman Configure SAML, di bagian Attribute Statements (optional), konfigurasikan dua pernyataan. Untuk pernyataan pertama, atur Name menjadi https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName, Name format menjadi Unspecified, dan Value menjadi user.email. Untuk pernyataan kedua, atur Name menjadi https://www.aliyun.com/SAML-Role/Attributes/Role, Name format menjadi Unspecified, dan Value menjadi ekspresi ARN peran RAM yang dimulai dengan acs:ram::<account_id>.

      • Konfigurasikan pernyataan pertama:

        • Name: Masukkan https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName.

        • Value: Pilih user.email.

      • Konfigurasikan pernyataan kedua:

        • Name: Masukkan https://www.aliyun.com/SAML-Role/Attributes/Role.

        • Value: Atur nilainya menjadi String.replace("acs:ram::<account_id>:role/$approle,acs:ram::<account_id>:saml-provider/okta-provider", "$approle", appuser.approle). Ekspresi ini mengganti placeholder $approle dengan nilai atribut approle dari profil aplikasi pengguna untuk menghasilkan nilai atribut SAML akhir. Dalam ekspresi ini, approle adalah atribut yang Anda definisikan di profil, dan okta-provider adalah penyedia identitas yang Anda buat di Langkah 3: Buat SAML IdP di Alibaba Cloud. Ganti <account_id> dengan ID akun Alibaba Cloud Anda. Contoh: String.replace("acs:ram::177242285274****:role/$approle,acs:ram::177242285274****:saml-provider/okta-provider", "$approle", appuser.approle).

Langkah 6: Buat pengguna dan tetapkan aplikasi

1. Buat pengguna.

   1. Di panel navigasi, pilih Directory > People.

   2. Klik Add person.

   3. Pada halaman Add Person, isi informasi dasar, atur Primary email ke alamat email pengguna seperti username@example.com, lalu klik Save.

   4. Di daftar pengguna, temukan pengguna username@example.com dan klik Activate di kolom Status. Ikuti petunjuk di layar untuk mengaktifkan pengguna.

2. Tetapkan aplikasi.

   Anda dapat menetapkan aplikasi dengan salah satu dari dua cara berikut:

   • Tetapkan aplikasi ke satu pengguna.

     1. Di panel navigasi, pilih Applications > Applications.

     2. Klik nama aplikasi role-sso-test. Pada tab Assignments, pilih Assign > Assign to People.

     3. Klik Assign di sebelah pengguna target username@example.com.

     4. Untuk approle, pilih admin.

     5. Klik Save and Go Back.

     6. Klik Done.

   • Tambahkan pengguna ke kelompok dan tetapkan aplikasi ke kelompok tersebut.

     1. Di panel navigasi, pilih Directory > Groups, lalu klik Add Group untuk membuat kelompok.

     2. Klik nama kelompok, klik Manage People, lalu tambahkan pengguna ke kelompok tersebut.

     3. Di panel navigasi, pilih Applications > Applications.

     4. Klik nama aplikasi role-sso-test. Pada tab Assignments, klik Assign > Assign to Groups.

     5. Klik Assign di sebelah kelompok target.

     6. Untuk approle, pilih admin.

     7. Klik Save and Go Back.

     8. Klik Done.

     Catatan

     Jika pengguna tergabung dalam beberapa kelompok, hanya satu nilai atribut yang digunakan. Okta menggunakan nilai dari kelompok pertama yang ditetapkan ke pengguna pada tab Assignments aplikasi. Perubahan keanggotaan kelompok dapat memengaruhi nilai approle. Untuk informasi selengkapnya, lihat dokumentasi Okta.

Verifikasi konfigurasi

1. Di panel navigasi, pilih Applications > Applications.

2. Klik nama aplikasi role-sso-test.

3. Pada tab General, di area App Embed Link, salin URL di Embed Link.

4. Buka jendela browser baru, tempel URL tersebut, dan masuk sebagai username@example.com.

   Masuk yang berhasil akan mengalihkan Anda ke halaman yang ditentukan oleh Default RelayState atau beranda Konsol Manajemen Alibaba Cloud. Setelah dialihkan ke konsol, pesan sambutan akan muncul. Klik avatar Anda di pojok kanan atas. Panel drop-down menampilkan identitas masuk Anda saat ini sebagai admin/ dengan label role berwarna oranye. Hal ini menunjukkan bahwa Anda berhasil masuk ke konsol dengan mengasumsikan peran RAM.

(Opsional) Konfigurasikan beberapa peran untuk satu pengguna

Jika Anda perlu memetakan satu pengguna ke beberapa peran Alibaba Cloud, Anda harus menggunakan Group Attribute Statement dan mengonfigurasinya berdasarkan nama kelompok. Ikuti langkah-langkah berikut:

1. Buat beberapa kelompok. Nama setiap kelompok harus mengikuti format yang diperlukan oleh atribut Role dalam pernyataan SAML. Misalnya, Anda dapat membuat kelompok bernama acs:ram::177242285274****:role/admin,acs:ram::177242285274****:saml-provider/okta-provider. Demikian pula, buat kelompok untuk peran reader dengan nama acs:ram::177242285274****:role/reader,acs:ram::177242285274****:saml-provider/okta-provider.

2. Tambahkan pengguna username@example.com ke kelompok-kelompok tersebut.

3. Di SAML Settings aplikasi, hapus pernyataan atribut untuk Role, lalu tambahkan Group Attribute Statement. Pada pernyataan baru, atur Name menjadi https://www.aliyun.com/SAML-Role/Attributes/Role. Filter harus dikonfigurasi untuk mengambil nama kelompok yang disebutkan di atas, misalnya: Dimulai dengan acs:ram.

4. Setelah menyelesaikan langkah-langkah ini, pengguna akan diminta memilih peran saat masuk ke Alibaba Cloud berikutnya. Halaman masuk menawarkan peran reader dan admin. Pengguna memilih peran dan mengklik Sign In untuk menyelesaikan proses masuk.

Untuk informasi selengkapnya tentang Okta, lihat dokumentasi Okta.