全部产品
Search

搜索本产品

    Resource Access Management:Contoh SSO Berbasis Pengguna dengan Microsoft Entra ID

    文档中心

    Resource Access Management:Contoh SSO Berbasis Pengguna dengan Microsoft Entra ID

    更新时间:Nov 10, 2025

    Topik ini memberikan contoh cara mengonfigurasi Single Sign-On (SSO) berbasis pengguna antara Microsoft Entra ID (sebelumnya Azure AD) dan Alibaba Cloud. Contoh ini membimbing Anda melalui proses end-to-end untuk mengonfigurasi SSO antara penyedia identitas perusahaan (IdP) Anda dan Alibaba Cloud.

    Skenario

    Dalam contoh ini, perusahaan Anda memiliki Akun Alibaba Cloud dan tenant Microsoft Entra ID. Tenant Microsoft Entra ID mencakup seorang administrator dengan peran Global Administrator serta pengguna karyawan bernama u2. Tujuannya adalah mengonfigurasi SSO berbasis pengguna agar memungkinkan pengguna karyawan (u2) mengakses Alibaba Cloud setelah masuk ke Microsoft Entra ID.

    Persiapan

    • Seorang administrator RAM dengan izin AliyunRAMFullAccess diperlukan untuk melakukan operasi di Konsol RAM. Untuk informasi lebih lanjut tentang cara membuat Pengguna RAM dan memberikan izin, lihat Buat Pengguna RAM dan Berikan Izin kepada Pengguna RAM.

    • Seorang administrator Microsoft Entra ID dengan peran Global Administrator diperlukan untuk melakukan operasi di Microsoft Entra ID. Untuk informasi lebih lanjut tentang cara membuat pengguna dan memberikan izin di Microsoft Entra ID, lihat Dokumentasi Microsoft Entra ID.

    Langkah 1: Dapatkan metadata SP SAML dari Alibaba Cloud

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi di sebelah kiri, pilih Integrations > SSO.

    3. Di halaman SSO, klik tab User-based SSO.

    4. Di bagian SAML Service Provider Metadata, salin URL tersebut.

    5. Buka tautan yang disalin di jendela browser baru dan simpan file XML metadata ke komputer Anda.

      Catatan

      File XML metadata berisi informasi akses untuk Alibaba Cloud sebagai Penyedia Layanan Security Assertion Markup Language (SAML) (SP). Catat nilai entityID dan Location dari file ini untuk konfigurasi Microsoft Entra ID.

    Langkah 2: Buat aplikasi di Microsoft Entra ID

    1. Masuk ke portal Azure sebagai administrator Microsoft Entra ID.

    2. Di pojok kiri atas halaman utama, klik ikon SSO_AAD_icon.

    3. Di panel navigasi di sebelah kiri, pilih Microsoft Entra ID > Manage > Enterprise Applications > All Applications.

    4. Klik New Application.

    5. Di halaman Browse Microsoft Entra ID Gallery, klik Create Your Own Application.

    6. Di halaman Create Your Own Application, masukkan nama aplikasi (seperti AliyunSSODemo), pilih Integrate Any Other Application You Don't Find In The Gallery (Non-gallery), lalu klik Create.

    Langkah 3: Konfigurasikan SAML di Microsoft Entra ID

    1. Di halaman AliyunSSODemo, di panel navigasi di sebelah kiri, pilih Manage > Single Sign-on.

    2. Di halaman Select A Single Sign-on Method, klik SAML.

    3. Di halaman Set Up Single Sign-On With SAML, konfigurasikan pengaturan berikut:

      1. Di pojok kiri atas halaman, klik Upload Metadata File, pilih file, lalu klik Add.

        Catatan

        Unggah file XML yang Anda dapatkan di Langkah 1: Dapatkan Metadata SP SAML dari Alibaba Cloud.

      2. Di halaman Basic SAML Configuration, konfigurasikan informasi berikut lalu klik Save:

        • Identifier (Entity ID): Nilai ini secara otomatis dibaca dari nilai entityID dalam file metadata.

        • Reply URL (Assertion Consumer Service URL): Nilai ini secara otomatis dibaca dari nilai Location dalam file metadata.

        • Relay State: URL halaman Alibaba Cloud ke mana pengguna dialihkan setelah berhasil masuk menggunakan SSO.

          Catatan

          Untuk alasan keamanan, Anda hanya dapat memasukkan URL domain Alibaba untuk nilai Relay State, seperti *.aliyun.com, *.hichina.com, *.yunos.com, *.taobao.com, *.tmall.com, *.alibabacloud.com, dan *.alipay.com. Jika Anda memasukkan URL untuk domain lain, konfigurasi akan menjadi tidak valid. Jika Anda tidak mengonfigurasi parameter ini, pengguna akan dialihkan ke halaman utama Konsol Alibaba Cloud secara default.

      3. Di bagian SAML Certificates, temukan Federation Metadata XML dan klik Download.

    Langkah 4: Tetapkan pengguna di Microsoft Entra ID

    1. Di halaman AliyunSSODemo, di panel navigasi di sebelah kiri, pilih Manage > Users and Groups.

    2. Di pojok kiri atas, klik Add User/group.

    3. Di halaman Add Assignment, pilih pengguna target (u2 dalam contoh ini), lalu klik Assign.

    Langkah 5: Buat Pengguna RAM di Alibaba Cloud

    1. Di panel navigasi di sebelah kiri Konsol RAM, pilih Identities > Users.

    2. Di halaman Users, klik Create User.

    3. Di halaman Create User, di bagian User Account Information, masukkan Logon Name dan Display Name.

      Pastikan bahwa awalan nama masuk untuk Pengguna RAM sama dengan awalan nama pengguna di Microsoft Entra ID. Dalam contoh ini, awalannya adalah u2.

    4. Di bagian Access Mode, pilih mode akses.

    5. Klik OK.

    Langkah 6: Aktifkan SSO berbasis pengguna di Alibaba Cloud

    1. Di panel navigasi di sebelah kiri Konsol RAM, pilih Integrations > SSO.

    2. Di halaman SSO, klik tab User-based SSO.

    3. Di bagian SSO Status, klik Enabled.

      Catatan

      SSO berbasis pengguna adalah fitur global. Setelah Anda mengaktifkan fitur ini, semua Pengguna RAM harus masuk ke Konsol menggunakan SSO. Jika Anda sedang mengonfigurasi SSO sebagai Pengguna RAM, jangan aktifkan fitur ini terlebih dahulu. Untuk menghindari terkunci dari Konsol karena kesalahan konfigurasi, Anda harus terlebih dahulu membuat Pengguna RAM yang diperlukan. Sebagai alternatif, Anda dapat menggunakan Akun Alibaba Cloud Anda untuk mengonfigurasi SSO guna mencegah masalah ini.

    4. Di bagian Metadata File, klik Upload Metadata dan unggah file XML yang Anda dapatkan di Langkah 3: Konfigurasikan SAML di Microsoft Entra ID.

    5. Di bagian Auxiliary Domain Name, klik Edit. Kemudian, aktifkan fitur dan konfigurasikan nama domain tambahan. Atur nama domain menjadi akhiran alamat email nama pengguna di Microsoft Entra ID.

      Sebagai contoh, jika nama lengkap pengguna Microsoft Entra ID (u2) adalah u2@example.onmicrosoft.com, masukkan example.onmicrosoft.com.

    Verifikasi hasil

    Setelah Anda mengonfigurasi SSO, Anda dapat memulai logon SSO dari Alibaba Cloud atau Microsoft Entra ID.

    Mulai logon dari Alibaba Cloud

    1. Di halaman Overview Konsol RAM, salin URL masuk untuk Pengguna RAM.

    2. Arahkan kursor ke foto profil Anda di pojok kanan atas dan klik Log Out, atau buka URL masuk Pengguna RAM yang disalin di browser baru.

    3. Klik Log On With Enterprise Account. Anda akan secara otomatis dialihkan ke halaman masuk Microsoft Entra ID.企业账户登录

    4. Masuk dengan nama pengguna dan kata sandi pengguna u2.

      Sistem secara otomatis masuk menggunakan SSO dan mengarahkan Anda ke halaman yang ditentukan untuk Relay State. Jika Relay State tidak ditentukan atau berada di luar cakupan yang diizinkan, Anda akan dialihkan ke halaman utama Konsol Alibaba Cloud.

      用户SSO配置验证

    Mulai logon dari Microsoft Entra ID

    1. Dapatkan URL akses pengguna.

      1. Masuk ke portal Azure sebagai administrator.

      2. Di pojok kiri atas halaman utama, klik ikon SSO_AAD_icon.

      3. Di panel navigasi di sebelah kiri, pilih Microsoft Entra ID > Manage > Enterprise Applications > All Applications.

      4. Klik aplikasi AliyunSSODemo.

      5. Di panel navigasi di sebelah kiri, klik Properties dan salin User Access URL.

        User Access URL adalah tautan yang dapat digunakan pengguna untuk langsung mengakses aplikasi ini dari browser mereka.

        用户访问URL

    2. Sebagai pengguna u2, dapatkan User Access URL dari administrator. Masukkan URL di browser Anda dan masuk dengan akun Anda.

      Sistem secara otomatis masuk menggunakan SSO dan mengarahkan Anda ke halaman yang ditentukan di Relay State. Jika Relay State tidak ditentukan atau tidak valid, Anda akan dialihkan ke halaman utama Konsol Alibaba Cloud.

      用户SSO配置验证