Contoh SSO berbasis peran menggunakan OneLogin - Resource Access Management

Topik ini memberikan contoh single sign-on (SSO) berbasis peran antara OneLogin dan Alibaba Cloud, menjelaskan proses konfigurasi end-to-end untuk SSO berbasis peran dari penyedia identitas (IdP) perusahaan ke Alibaba Cloud.

Informasi latar belakang

Dalam contoh ini, sebuah perusahaan memiliki Akun Alibaba Cloud, seorang administrator OneLogin, dan beberapa pengguna OneLogin. Tujuannya adalah mengonfigurasi SSO berbasis peran agar pengguna OneLogin dapat mengakses Alibaba Cloud menggunakan akun OneLogin mereka tanpa harus membuat akun Alibaba Cloud baru.

Untuk informasi lebih lanjut tentang OneLogin, lihat dokumentasi OneLogin.

Langkah 1: Buat aplikasi di OneLogin

Masuk ke OneLogin sebagai administrator.
Di sebelah kiri foto profil, klik Administration untuk membuka halaman administrator.
Di bilah menu atas, pilih Applications > Applications.
Di pojok kanan atas halaman Applications, klik Add App.
Di halaman Find Applications, cari SAML Test Connector (Advanced).
Di halaman Add SAML Test Connector (Advanced), konfigurasikan informasi dasar untuk aplikasi, lalu klik Save.
Dalam contoh ini, atur Display Name menjadi LoginToAliyun dan biarkan nilai default untuk parameter lainnya.
Di halaman Info, arahkan kursor ke More Actions di sudut kanan atas dan klik SAML Metadata untuk mengunduh file metadata IdP. Simpan file tersebut ke komputer lokal Anda.

Langkah 2: Buat IdP di Alibaba Cloud

Masuk ke Konsol Resource Access Management (RAM) sebagai administrator RAM.
Di panel navigasi di sebelah kiri, pilih Integrations > SSO Management.
Di tab Role SSO, klik tab SAML, lalu klik Create IdP.
Di halaman Create IdP, masukkan IdP Name (OneLogin) dan Remark.
Di bagian Metadata Document, klik Upload Metadata untuk mengunggah file metadata IdP yang Anda unduh di Langkah 1: Buat aplikasi di OneLogin.
Klik Create IdP.

Lihat detail IdP baru dan catat ARN-nya.

Langkah 3: Buat peran RAM di Alibaba Cloud

Di panel navigasi di sebelah kiri Konsol RAM, pilih Identity Management > Roles.
Di halaman Roles, klik Create Role.
Di sudut kanan atas halaman Create Role, klik Switch Editor.
Di editor, tentukan SAML IdP.
Editor memiliki dua mode: visual editor dan script editor. Anda dapat menggunakan salah satu mode. Contoh ini menggunakan visual editor. Di bagian Principal, tentukan IdP yang Anda buat di Langkah 2: Buat IdP di Alibaba Cloud. Atur Identity Provider Type menjadi SAML.
Di editor, atur kondisi saml:recipient. Atur nilainya menjadi https://signin.alibabacloud.com/saml-role/sso.
Di kotak dialog Create Role, masukkan Role Name, seperti Reader-OneLogin, lalu klik OK.

Lihat detail peran RAM baru dan catat ARN-nya.

Langkah 4: Konfigurasikan aplikasi di OneLogin

Masuk ke OneLogin sebagai administrator.
Buat atribut pengguna kustom.
1. Di bilah menu atas, pilih Users > Users.
2. Di halaman Users, arahkan kursor ke More Actions di sudut kanan atas dan klik Custom user fields.
3. Di pojok kanan atas halaman Custom User Fields, klik New User Field.
4. Di kotak dialog New User Field, atur Name dan Shortname, lalu klik Save.
  Dalam contoh ini, atur Name menjadi AliyunRoles for SSO dan Shortname menjadi AliyunRoles.
Konfigurasikan aplikasi.
1. Di bilah menu atas, pilih Applications > Applications.
2. Di halaman Applications, klik aplikasi (LoginToAliyun) yang Anda buat di Langkah 1: Buat aplikasi di OneLogin.
3. Di panel navigasi di sebelah kiri, klik Configuration.
4. Di halaman Configuration, konfigurasikan informasi berikut, lalu klik Save.
  - RelayState: Halaman Alibaba Cloud ke mana pengguna dialihkan setelah berhasil masuk.
    Catatan
    Untuk alasan keamanan, Anda hanya dapat memasukkan URL domain yang dimiliki oleh Alibaba Group untuk RelayState, seperti *.aliyun.com, *.hichina.com, *.yunos.com, *.taobao.com, *.tmall.com, *.alibabacloud.com, atau *.alipay.com. Jika tidak, konfigurasi tidak valid. Jika Anda tidak menyetel parameter ini, pengguna akan dialihkan ke halaman utama Konsol Manajemen Alibaba Cloud secara default.
  - Audience (EntityID): urn:alibaba:cloudcomputing:international.
  - Recipient: https://signin.alibabacloud.com/saml-role/sso.
  - ACS (Consumer) URL: https://signin.alibabacloud.com/saml-role/sso.
5. Di panel navigasi di sebelah kiri, klik Parameters.
6. Di halaman Parameters, klik untuk menambahkan properti aplikasi kustom pertama.
  1. Di kotak dialog New Field, atur Field name menjadi https://www.aliyun.com/SAML-Role/Attributes/Role, pilih Include in SAML assertion dan Multi-value parameter, lalu klik Save.
  2. Di kotak dialog Edit Field https://www.aliyun.com/SAML-Role/Attributes/Role, di bagian Default if no value selected, pilih Aliyun Roles for SSO (Custom) dan Semicolon Delimited input (Multi-value output) dari dua daftar drop-down. Lalu, klik Save.
7. Di halaman Parameters, klik untuk menambahkan properti aplikasi kustom kedua.
  1. Di kotak dialog New Field, atur Field name menjadi https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName, pilih Include in SAML assertion, lalu klik Save.
  2. Di kotak dialog Edit Field https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName, pilih Email dari daftar drop-down di bagian Value, lalu klik Save.
    Catatan
    Anda juga dapat menyetel Value ke nilai lain, seperti Username atau userPrincipalName, sesuai kebutuhan.
8. Di sudut kanan atas halaman Parameters, klik Save.

Langkah 5: Buat pengguna di OneLogin dan tetapkan aplikasi

Masuk ke OneLogin sebagai administrator.
Di bilah menu atas, pilih Users > Users.
Buat pengguna.
Catatan
Jika Anda sudah memiliki pengguna OneLogin, lewati langkah ini.
1. Di pojok kanan atas halaman Users, klik New User.
2. Di halaman New User, atur First name (misalnya, Jack), Last name (misalnya, Lee), Username (misalnya, jacklee), dan Email (misalnya, jacklee@example.com), lalu klik Save User.
3. Di halaman User Info, arahkan kursor ke More Actions di sudut kanan atas, klik Change Password, atur kata sandi logon untuk pengguna, lalu klik Update.
  Atur kata sandi logon untuk pengguna untuk memastikan bahwa pengguna dapat masuk ke OneLogin.
Di bagian Custom Fields halaman User Info, atur nilai properti pengguna kustom Aliyun Roles for SSO.
Nilai Aliyun Roles for SSO terdiri dari ARN peran RAM dan ARN IdP, dipisahkan dengan koma (,). Nilai tersebut harus dalam format acs:ram::<account_id>:role/RoleName,acs:ram::<account_id>:saml-provider/ProviderName. ARN peran RAM berasal dari Langkah 3: Buat peran RAM di Alibaba Cloud. ARN IdP berasal dari Langkah 2: Buat IdP di Alibaba Cloud. <account_id> adalah ID akun Alibaba Cloud Anda.
Catatan
Jika pengguna sesuai dengan beberapa peran RAM, Anda dapat menyetel beberapa pasangan nilai. Setiap pasangan terdiri dari ARN peran RAM dan ARN IdP yang sesuai. Pisahkan pasangan dengan titik koma (;). Contohnya: acs:ram::125022144354****:role/reader-onelogin,acs:ram::125022144354****:saml-provider/OneLogin;acs:ram::125022144354****:role/administrator-onelogin,acs:ram::125022144354****:saml-provider/OneLogin;acs:ram::158622887609****:role/finance,acs:ram::158622887609****:saml-provider/OneLogin2.
Tetapkan aplikasi ke pengguna.
1. Di halaman Applications, klik .
2. Pilih aplikasi (LoginToAliyun) yang Anda buat di Langkah 1: Buat aplikasi di OneLogin, lalu klik Continue.
3. Di kotak dialog yang muncul, klik Save.
Di pojok kanan atas halaman Users, klik Save User.
Ulangi Langkah 4 hingga Langkah 6 untuk menyetel properti Aliyun Roles for SSO dan menetapkan aplikasi untuk pengguna OneLogin lainnya.

Verifikasi hasil

Masuk ke OneLogin sebagai pengguna (jacklee) yang Anda buat di Langkah 5: Buat pengguna di OneLogin dan tetapkan aplikasi.
Klik aplikasi (LoginToAliyun).
Jika Anda dialihkan ke halaman yang ditentukan oleh RelayState (atau halaman utama Konsol Manajemen Alibaba Cloud secara default), masuk berhasil.
Catatan
Jika Anda menetapkan beberapa peran kepada pengguna di Langkah 5: Buat pengguna di OneLogin dan tetapkan aplikasi, Anda harus memilih peran sebelum dapat masuk ke Alibaba Cloud.