All Products
Search

This Product

    Resource Access Management:Konfigurasikan SSO berbasis pengguna dari Okta

    Document Center

    Resource Access Management:Konfigurasikan SSO berbasis pengguna dari Okta

    Last Updated:Mar 06, 2026

    Topik ini memberikan panduan langkah demi langkah untuk mengonfigurasi Single Sign-On (SSO) berbasis pengguna dari Okta ke Alibaba Cloud. Setelah konfigurasi selesai, pengguna dalam organisasi Okta Anda dapat masuk ke Konsol Manajemen Alibaba Cloud menggunakan kredensial Okta mereka.

    Langkah 1: Unduh file metadata SAML SP dari Alibaba Cloud

    1. Masuk ke Konsol Resource Access Management (RAM) sebagai administrator RAM.

    2. Pada panel navigasi di sisi kiri, pilih Integrations > SSO.

    3. Pada halaman SSO, klik tab User-based SSO. Di bagian SAML Service Provider Metadata URL, salin URL tersebut.

    4. Buka URL metadata di tab browser baru. Klik kanan pada halaman tersebut, lalu simpan sebagai file XML. File ini berisi metadata SAML service provider (SP) untuk Alibaba Cloud.

      Buka file metadata yang telah diunduh dan catat nilai-nilai berikut, yang akan Anda perlukan untuk mengonfigurasi Okta:

      • entityID: Nilai atribut entityID dalam elemen <md:EntityDescriptor>. Contoh: https://signin-intl.aliyun.com/57******81/saml/SSO.

      • Location: Nilai atribut Location dalam elemen <md:AssertionConsumerService>. Contoh: https://signin-intl.aliyun.com/saml/SSO.

    Langkah 2: Buat aplikasi di Okta

    1. Masuk ke portal Okta.

    2. Pada panel navigasi di sisi kiri, pilih Applications > Applications.

    3. Pada halaman Applications, klik Create App Integration.

    4. Pada dialog box Create a new app integration, pilih SAML 2.0, lalu klik Next.

    5. Pada langkah General Settings, masukkan nama aplikasi pada bidang App name, misalnya AliyunSSODemo, lalu klik Next.

    6. Pada langkah Configure SAML, konfigurasikan parameter berikut di bagian SAML Settings, lalu klik Next.

      • Single sign on URL: Masukkan nilai Location yang telah Anda catat di Langkah 1.

      • Audience URI (SP Entity ID): Masukkan nilai entityID yang telah Anda catat di Langkah 1.

      • Default RelayState: Tentukan halaman konsol Alibaba Cloud tempat pengguna dialihkan setelah berhasil masuk melalui SSO. Jika dibiarkan kosong, pengguna akan dialihkan ke halaman utama Konsol Manajemen Alibaba Cloud.

        Catatan

        Untuk alasan keamanan, URL untuk Default RelayState harus berasal dari domain milik Alibaba, seperti *.aliyun.com, *.hichina.com, *.yunos.com, *.taobao.com, *.tmall.com, *.alibabacloud.com, atau *.alipay.com. Jika Anda menentukan URL dari domain yang tidak diizinkan, nilai Default RelayState akan diabaikan.

      • Name ID format: Pilih Persistent.

      • Application username: Pilih Email.

    7. Pada halaman Feedback, pilih tipe aplikasi sesuai kebutuhan Anda, lalu klik Finish.

    Langkah 3: Dapatkan metadata SAML IdP dari Okta

    1. Pada halaman detail aplikasi SAML yang telah Anda buat (misalnya AliyunSSODemo), klik tab Sign On.

    2. Pada bagian Settings , salin Metadata URL. Buka URL tersebut di tab browser baru, lalu klik kanan dan pilih Save As untuk mengunduh file metadata ke komputer Anda.

    Langkah 4: Konfigurasikan SSO berbasis pengguna di Alibaba Cloud

    1. Pada panel navigasi di sisi kiri Konsol RAM, pilih Integrations > SSO.

    2. Klik tab User-based SSO. Pilih Enabled di sebelah kanan SSO Status.

      Catatan

      Ini adalah pengaturan global yang berlaku untuk semua RAM user. Setelah diaktifkan, RAM user tidak lagi dapat masuk menggunakan username dan password. Jika Anda sedang masuk sebagai RAM user, jangan aktifkan SSO hingga Anda memastikan konfigurasi sudah benar. Untuk menghindari terkunci, kami sarankan melakukan konfigurasi ini saat masuk dengan Akun Alibaba Cloud Anda.

    3. Di bagian Metadata File, klik Upload Metadata File untuk mengunggah file metadata IdP yang telah Anda unduh di Langkah 3.

    4. Klik Edit di sebelah kanan Auxiliary Domain Name. Aktifkan fitur tersebut dan masukkan akhiran alamat email pengguna Okta Anda (misalnya example.com).

      Catatan

      Jika organisasi Okta Anda memiliki pengguna dengan beberapa domain email, hanya pengguna yang akhiran alamat emailnya sesuai dengan yang dikonfigurasi di sini yang dapat masuk ke Alibaba Cloud melalui SSO.

    Langkah 5: Tetapkan aplikasi kepada pengguna Okta

    1. Pada panel navigasi di sisi kiri, pilih Directory > People.

    2. Klik Add person.

    3. Pada halaman Add Person, masukkan informasi dasar, atur Primary email menjadi u2@example.com, lalu klik Save.

    4. Pada daftar pengguna, temukan pengguna u2@example.com, lalu klik Activate di kolom Status. Kemudian, aktifkan pengguna sesuai petunjuk.

    5. Pada panel navigasi di sisi kiri, pilih Applications > Applications.

    6. Klik nama aplikasi (AliyunSSODemo) untuk membuka halaman detailnya. Pada tab Assignments, pilih Assign > Assign to People.

    7. Temukan pengguna (u2@example.com), lalu klik Assign.

    8. Klik Save and Go Back.

    9. Klik Done.

    Langkah 6: Buat RAM user di Alibaba Cloud

    1. Pada panel navigasi di sisi kiri Konsol RAM, pilih Identities > Users.

    2. Pada halaman Users, klik Create User.

    3. Pada halaman Create User, konfigurasikan parameter Logon Name dan Display Name.

      Catatan

      Awalan logon name RAM user (bagian sebelum simbol @) harus persis sama dengan awalan username pengguna Okta. Dalam contoh ini, karena username Okta adalah u2@example.com, logon name RAM user harus diawali dengan u2.

    4. Di bagian Access Mode, pilih Console Access. Anda tidak perlu mengonfigurasi password karena pengguna akan diautentikasi melalui SSO.

    5. Klik OK.

    Verifikasi konfigurasi SSO

    Anda dapat memverifikasi konfigurasi dengan memulai SSO baik dari Alibaba Cloud (SP-initiated) maupun dari Okta (IdP-initiated).

    SP-initiated logon

    1. Masuk ke Konsol RAM. Pada halaman Overview, salin URL login untuk RAM user.

    2. Arahkan kursor ke gambar profil di pojok kanan atas, lalu klik Log Out. Kemudian, buka URL login RAM user tersebut.

    3. Klik Login with Cloud Account. Anda akan dialihkan ke halaman login Okta.

    4. Pada halaman login Okta, masukkan username (u2@example.com) dan password, lalu klik Login.

      Setelah autentikasi berhasil, Anda akan otomatis masuk ke Konsol Manajemen Alibaba Cloud dan dialihkan ke halaman yang ditentukan oleh parameter DefaultRelayState. Jika DefaultRelayState tidak diatur atau tidak valid, Anda akan dialihkan ke halaman utama Konsol Manajemen Alibaba Cloud.

    IdP-initiated logon

    Masuk ke portal Okta sebagai pengguna Okta. Pada halaman utama Okta, klik aplikasi yang telah Anda buat (AliyunSSODemo).

    Setelah autentikasi berhasil, Anda akan otomatis masuk ke Konsol Manajemen Alibaba Cloud dan dialihkan ke halaman yang ditentukan oleh parameter DefaultRelayState. Jika DefaultRelayState tidak diatur atau tidak valid, Anda akan dialihkan ke halaman utama Konsol Manajemen Alibaba Cloud.