All Products
Search

This Product

    Resource Access Management:Konfigurasikan SSO berbasis pengguna dengan Microsoft Entra ID

    Document Center

    Resource Access Management:Konfigurasikan SSO berbasis pengguna dengan Microsoft Entra ID

    Last Updated:Jun 21, 2026

    Topik ini memberikan contoh konfigurasi SSO berbasis pengguna antara Microsoft Entra ID (sebelumnya Azure AD) dan Alibaba Cloud untuk menggambarkan proses end-to-end dalam menyiapkan SSO antara IdP dan Alibaba Cloud.

    Kasus penggunaan

    Dalam contoh ini, sebuah perusahaan memiliki akun Alibaba Cloud dan penyewa Microsoft Entra ID. Penyewa tersebut mencakup administrator dengan peran Global Administrator serta pengguna karyawan bernama u2. Tujuannya adalah mengonfigurasi SSO berbasis pengguna agar pengguna karyawan (u2) dapat mengakses Alibaba Cloud setelah masuk ke Microsoft Entra ID.

    Prasyarat

    • Anda memiliki administrator RAM dengan izin AliyunRAMFullAccess untuk melakukan operasi di Konsol RAM. Untuk informasi tentang cara membuat RAM user dan memberikan izin, lihat Create a RAM user dan Manage RAM user permissions.

    • Anda memiliki administrator Microsoft Entra ID dengan peran Global Administrator untuk melakukan operasi di Microsoft Entra ID. Untuk informasi tentang cara membuat pengguna dan memberikan izin di Microsoft Entra ID, lihat Microsoft Entra ID documentation.

    Langkah 1: Dapatkan metadata SAML dari Alibaba Cloud

    1. Masuk ke RAM console sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Integrations > SSO.

    3. Di halaman SSO, klik tab User-based SSO.

    4. Di bagian SAML Service Provider Metadata URL, salin URL-nya.

    5. Buka URL yang telah disalin di jendela browser baru dan simpan file XML metadata secara lokal.

      Catatan

      File XML metadata berisi informasi tentang Alibaba Cloud sebagai penyedia layanan SAML. Catat nilai entityID dan Location dari file ini. Nilai-nilai tersebut diperlukan untuk konfigurasi di Microsoft Entra ID.

    Langkah 2: Buat aplikasi di Microsoft Entra ID

    1. Masuk ke Azure portal sebagai administrator Microsoft Entra ID.

    2. Di pojok kiri atas halaman utama, klik ikon SSO_AAD_icon.

    3. Di panel navigasi sebelah kiri, pilih Microsoft Entra ID > Manage > Enterprise applications > All applications.

    4. Klik New application.

    5. Di halaman Browse Microsoft Entra Gallery, klik Create your own application.

    6. Di panel Create your own application, masukkan nama aplikasi, misalnya AliyunSSODemo. Pilih Integrate any other application you don't find in the gallery (Non-gallery), lalu klik Create.

    Langkah 3: Konfigurasikan SAML di Microsoft Entra ID

    1. Di halaman AliyunSSODemo, di panel navigasi sebelah kiri, buka Manage > Single sign-on.

    2. Di halaman Select a single sign-on method, klik SAML.

    3. Di halaman Set up Single Sign-On with SAML, lakukan langkah-langkah berikut:

      1. Di pojok kiri atas, klik Upload metadata file, pilih file tersebut, lalu klik Add.

        Catatan

        Unggah file XML yang Anda unduh di Langkah 1: Dapatkan metadata SAML dari Alibaba Cloud.

      2. Di bagian Basic SAML Configuration, konfigurasikan pengaturan berikut, lalu klik Save.

        • Identifier (Entity ID): Nilai entityID secara otomatis dibaca dari file metadata.

        • Reply URL (Assertion Consumer Service URL): Nilai Location secara otomatis dibaca dari file metadata.

        • Relay State: Halaman Alibaba Cloud tempat pengguna dialihkan setelah berhasil login SSO.

          Catatan

          Karena alasan keamanan, Anda hanya dapat mengatur Relay State ke URL di bawah domain milik Alibaba, seperti *.aliyun.com, *.hichina.com, *.yunos.com, *.taobao.com, *.tmall.com, *.alibabacloud.com, atau *.alipay.com. Jika tidak, konfigurasi tidak valid. Jika Anda membiarkan bidang ini kosong, pengguna akan dialihkan ke halaman utama Konsol Alibaba Cloud secara default.

      3. Di bagian SAML Certificates, temukan Federation Metadata XML dan klik Download.

    Langkah 4: Tetapkan pengguna di Microsoft Entra ID

    1. Di halaman AliyunSSODemo, di panel navigasi sebelah kiri, buka Manage > Users and groups.

    2. Di pojok kiri atas, klik Add user/group.

    3. Di halaman Add Assignment, pilih pengguna target (pengguna u2 dalam contoh ini), lalu klik Assignments.

    Langkah 5: Buat RAM user

    1. Di panel navigasi sebelah kiri Konsol RAM, pilih Identities > Users.

    2. Di halaman Users, klik Create User.

    3. Di halaman Create User, di bagian User Account Information, masukkan Logon Name dan Display Name.

      Pastikan awalan logon name untuk RAM user sama dengan awalan username di Microsoft Entra ID. Dalam contoh ini, awalannya adalah u2.

    4. Di bagian Access Mode, pilih mode akses.

    5. Klik OK.

    Langkah 6: Aktifkan SSO pengguna di Alibaba Cloud

    1. Di panel navigasi sebelah kiri Konsol RAM, pilih Integrations > SSO.

    2. Di halaman SSO, klik tab User-based SSO.

    3. Di bagian SSO Status, klik Enabled.

      Catatan

      SSO berbasis pengguna adalah pengaturan global. Setelah diaktifkan, semua RAM user harus menggunakan SSO untuk login ke konsol. Jika Anda saat ini login sebagai RAM user, jangan aktifkan pengaturan ini sampai Anda telah menyelesaikan dan menguji konfigurasi SSO agar tidak terkunci dari akun Anda. Sebagai praktik terbaik, lakukan konfigurasi ini saat login ke akun Alibaba Cloud Anda.

    4. Di bagian Metadata File, klik Upload Metadata File dan unggah file XML yang Anda peroleh di Langkah 3: Konfigurasikan SAML di Microsoft Entra ID.

    5. Di bagian Auxiliary Domain Name, klik Edit. Aktifkan nama domain tambahan dan konfigurasikan dengan akhiran email dari username di Microsoft Entra ID.

      Misalnya, jika username lengkap pengguna Microsoft Entra ID (u2) adalah u2@example.onmicrosoft.com, masukkan example.onmicrosoft.com.

    Verifikasi hasil

    Setelah menyelesaikan konfigurasi SSO, Anda dapat memulai login SSO baik dari Alibaba Cloud (SP-initiated) maupun Microsoft Entra ID (IdP-initiated).

    Sign-on yang diinisiasi SP

    1. Di halaman Overview RAM console, salin URL login untuk RAM user.

    2. Arahkan kursor ke foto profil Anda di pojok kanan atas dan klik Log Out, atau buka URL login RAM user yang telah disalin di jendela browser baru.

    3. Klik Login with Cloud Account. Anda akan secara otomatis dialihkan ke halaman login Microsoft Entra ID.

    4. Login dengan username dan password pengguna u2.

      Setelah autentikasi berhasil, Anda akan secara otomatis login melalui SSO dan dialihkan ke halaman yang ditentukan di Relay State. Jika Relay State tidak ditentukan atau tidak valid, Anda akan dialihkan ke halaman utama Konsol Alibaba Cloud.

      Di menu pengguna di pojok kanan atas konsol, identitas saat ini ditampilkan sebagai u2 dengan label RAM User, dan alias akun adalah example. Hal ini menunjukkan bahwa SSO berbasis pengguna berhasil.

    IdP-initiated sign-on

    1. Dapatkan URL akses pengguna.

      1. Masuk ke Azure portal sebagai administrator.

      2. Di pojok kiri atas halaman utama, klik ikon SSO_AAD_icon.

      3. Di panel navigasi sebelah kiri, pilih Microsoft Entra ID > Manage > Enterprise applications > All applications.

      4. Klik aplikasi AliyunSSODemo.

      5. Di panel navigasi sebelah kiri, klik Properties untuk mendapatkan user access URL.

        user access URL adalah tautan yang dapat dibuka pengguna di browser mereka untuk mengakses aplikasi ini secara langsung.

    2. Pengguna (u2) memperoleh user access URL dari administrator. Di browser, pengguna memasukkan URL tersebut dan login dengan akun mereka.

      Setelah autentikasi berhasil, Anda akan secara otomatis login melalui SSO dan dialihkan ke halaman yang ditentukan di Relay State. Jika Relay State tidak ditentukan atau tidak valid, Anda akan dialihkan ke halaman utama Konsol Alibaba Cloud.