Konfigurasikan role-based SSO dari OneLogin ke Alibaba Cloud - Resource Access Management

Topik ini menjelaskan langkah-langkah konfigurasi end-to-end role-based SSO antara OneLogin dan Alibaba Cloud agar pengguna OneLogin dapat mengakses Alibaba Cloud tanpa akun Alibaba Cloud terpisah.

Latar Belakang

Sebuah perusahaan memiliki akun Alibaba Cloud, administrator OneLogin, dan beberapa pengguna OneLogin. Tujuannya adalah memungkinkan pengguna OneLogin masuk ke Alibaba Cloud melalui role-based SSO menggunakan akun OneLogin yang sudah ada, tanpa membuat akun Alibaba Cloud terpisah.

Untuk informasi latar belakang tentang OneLogin, lihat dokumentasi OneLogin.

Langkah 1: Buat aplikasi di OneLogin

Masuk ke OneLogin sebagai administrator.
Di samping foto profil akun Anda, klik Administration.
Pada bilah navigasi atas, pilih Applications > Applications.
Pada halaman Applications, klik Add App.
Pada halaman Find Applications, cari SAML Test Connector (Advanced).
Pada halaman Add SAML Test Connector (Advanced), konfigurasikan informasi dasar aplikasi dan klik Save.

Pada contoh ini, Display Name diatur ke LoginToAliyun dan parameter lainnya tetap menggunakan nilai default.
Pada halaman Info, arahkan kursor ke More Actions dan klik SAML Metadata untuk mengunduh file metadata IdP.

Langkah 2: Buat IdP di Alibaba Cloud

Masuk ke RAM console sebagai administrator RAM.
Di panel navigasi kiri, pilih Integrations > SSO.
Pada tab Role-based SSO, klik tab SAML, lalu klik Create IdP.
Pada halaman Create IdP, masukkan IdP Name (misalnya, OneLogin) dan Note.
Pada bagian Metadata File, klik Upload Metadata File dan unggah file metadata IdP yang Anda peroleh di Langkah 1: Buat aplikasi di OneLogin.
Klik Create IdP.

Catat ARN IdP untuk digunakan nanti.

Langkah 3: Buat RAM role di Alibaba Cloud

Di panel navigasi kiri RAM console, pilih Identities > Roles.
Pada halaman Roles, klik Create Role.
Di pojok kanan atas halaman Create Role, klik Switch to Policy Editor.
Tentukan penyedia identitas SAML di editor kebijakan.

Editor mendukung mode visual dan mode skrip. Contoh ini menggunakan editor visual. Untuk Principal, pilih IdP yang dibuat di Langkah 2: Buat IdP di Alibaba Cloud. Untuk IdP Type, pilih SAML.
Di editor, tambahkan kondisi dengan kunci saml:recipient dan atur nilainya ke https://signin.alibabacloud.com/saml-role/sso.
Di kotak dialog Create Role, masukkan Role Name, misalnya Reader-OneLogin, lalu klik OK.

Catat ARN RAM role untuk digunakan nanti.

Langkah 4: Konfigurasikan aplikasi OneLogin

Masuk ke OneLogin sebagai administrator.
Buat bidang pengguna kustom.
1. Di bilah navigasi atas, pilih Users > Users.
2. Pada halaman Users, arahkan kursor ke More Actions dan klik Custom User Fields.
3. Pada halaman Custom User Fields, klik New User Field.
4. Di kotak dialog New User Field, atur Name dan Shortname, lalu klik Save.
  
  Pada contoh ini, Name diatur ke AliyunRoles for SSO dan Shortname diatur ke AliyunRoles.
Konfigurasikan aplikasi.
1. Di bilah navigasi atas, pilih Applications > Applications.
2. Pada halaman Applications, klik aplikasi (LoginToAliyun) yang Anda buat di Langkah 1: Buat aplikasi di OneLogin.
3. Di panel navigasi kiri, klik Configuration.
4. Pada halaman Configuration, atur parameter berikut dan klik Save.
  - RelayState: URL halaman Alibaba Cloud tempat pengguna dialihkan setelah masuk.
    
    Catatan
    Karena alasan keamanan, URL untuk RelayState harus berasal dari domain milik Alibaba, seperti *.aliyun.com, *.hichina.com, *.yunos.com, *.taobao.com, *.tmall.com, *.alibabacloud.com, atau *.alipay.com. Domain yang bukan milik Alibaba tidak valid. Jika dibiarkan kosong, pengguna akan dialihkan ke halaman utama Konsol Alibaba Cloud.
  - Audience (EntityID): urn:alibaba:cloudcomputing:international.
  - Recipient: https://signin.alibabacloud.com/saml-role/sso.
  - ACS (Consumer) URL: https://signin.alibabacloud.com/saml-role/sso.
5. Di panel navigasi kiri, klik Parameters.
6. Pada halaman Parameters, klik ikon plus () untuk menambahkan atribut kustom pertama.
  1. Di kotak dialog New Field, atur Field name ke https://www.aliyun.com/SAML-Role/Attributes/Role, centang kotak Include in SAML assertion dan Multi-value parameter, lalu klik Save.
  2. Di kotak dialog Edit Field https://www.aliyun.com/SAML-Role/Attributes/Role, buka bagian Default if no value selected. Pilih Aliyun Roles for SSO (Custom) dari daftar drop-down pertama dan Semicolon Delimited input (Multi-value output) dari daftar drop-down kedua. Lalu, klik Save.
7. Pada halaman Parameters, klik ikon plus () untuk menambahkan atribut kustom kedua.
  1. Di kotak dialog New Field, atur Field name ke https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName, centang kotak Include in SAML assertion, lalu klik Save.
  2. Di kotak dialog Edit Field https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName, pilih Email dari daftar drop-down Value, lalu klik Save.
    
    Catatan
    Anda juga dapat mengatur Value ke atribut lain, seperti Username atau userPrincipalName.
8. Di pojok kanan atas halaman Parameters, klik Save.

Langkah 5: Buat pengguna dan tetapkan aplikasi di OneLogin

Masuk ke OneLogin sebagai administrator.
Di bilah navigasi atas, pilih Users > Users.
Buat pengguna OneLogin.

Catatan
Jika Anda sudah memiliki pengguna OneLogin, Anda dapat melewati langkah ini.
1. Pada halaman Users, klik New User.
2. Pada halaman New User, atur First name (misalnya, Jack), Last name (misalnya, Lee), Username (misalnya, jacklee), dan Email (misalnya, jacklee@example.com), lalu klik Save User.
3. Pada halaman User Info, arahkan kursor ke More Actions, klik Change Password, atur password untuk pengguna tersebut, dan klik Update.
  
  Pengguna memerlukan password ini untuk masuk ke OneLogin.
Pada halaman User Info, di bagian Custom Fields, konfigurasikan nilai untuk atribut Aliyun Roles for SSO.

Nilai Aliyun Roles for SSO terdiri dari ARN RAM role dan ARN IdP, dipisahkan dengan koma (,), dalam format: acs:ram::<account_id>:role/RoleName,acs:ram::<account_id>:saml-provider/ProviderName. Dapatkan ARN RAM role dari Langkah 3: Buat RAM role di Alibaba Cloud dan ARN IdP dari Langkah 2: Buat IdP di Alibaba Cloud. Ganti <account_id> dengan ID akun Alibaba Cloud Anda.

Catatan
Untuk memungkinkan pengguna mengasumsikan beberapa RAM role, tentukan beberapa pasangan role-dan-penyedia yang dipisahkan dengan titik koma (;). Contoh: acs:ram::125022144354****:role/reader-onelogin,acs:ram::125022144354****:saml-provider/OneLogin;acs:ram::125022144354****:role/administrator-onelogin,acs:ram::125022144354****:saml-provider/OneLogin;acs:ram::158622887609****:role/finance,acs:ram::158622887609****:saml-provider/OneLogin2.
Tetapkan aplikasi ke pengguna tersebut.
1. Pada halaman Applications, klik ikon plus ().
2. Pilih aplikasi (LoginToAliyun) yang Anda buat di Langkah 1: Buat aplikasi di OneLogin, lalu klik Continue.
3. Di kotak dialog yang muncul, klik Save.
Pada halaman Users, klik Save User.
Ulangi langkah 4 hingga 6 untuk mengonfigurasi atribut Aliyun Roles for SSO dan menetapkan aplikasi untuk pengguna OneLogin lainnya.

Verifikasi konfigurasi

Masuk ke OneLogin sebagai pengguna (jacklee) yang Anda buat di Langkah 5: Buat pengguna dan tetapkan aplikasi di OneLogin.
Klik aplikasi (LoginToAliyun).

Jika Anda dialihkan ke halaman yang ditentukan oleh RelayState (atau halaman utama Konsol Alibaba Cloud secara default), konfigurasi SSO berhasil.

Catatan
Jika Anda mengonfigurasi beberapa role untuk pengguna di Langkah 5: Buat pengguna dan tetapkan aplikasi di OneLogin, Anda harus memilih role sebelum dapat mengakses Alibaba Cloud.