全部产品
Search

搜索本产品

    Resource Access Management:Konfigurasikan SSO berbasis pengguna dari Okta

    文档中心

    Resource Access Management:Konfigurasikan SSO berbasis pengguna dari Okta

    更新时间:Jan 10, 2026

    Topik ini memberikan panduan langkah demi langkah untuk mengonfigurasi Single Sign-On (SSO) berbasis pengguna dari Okta ke Alibaba Cloud. Setelah konfigurasi selesai, pengguna dalam organisasi Okta Anda dapat masuk ke Konsol Manajemen Alibaba Cloud menggunakan kredensial Okta mereka.

    Langkah 1: Unduh file metadata SAML SP dari Alibaba Cloud

    1. Masuk ke Konsol Resource Access Management (RAM) sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Integrations > SSO.

    3. Pada halaman SSO, klik tab User-based SSO. Di bagian SAML Service Provider Metadata URL, salin URL tersebut.

    4. Buka URL metadata di tab browser baru. Klik kanan halaman tersebut lalu simpan sebagai file XML. File ini berisi metadata SAML service provider (SP) untuk Alibaba Cloud.

      Buka file metadata yang telah diunduh dan catat nilai-nilai berikut, yang akan Anda perlukan untuk mengonfigurasi Okta:

      • entityID: Nilai atribut entityID dalam elemen <md:EntityDescriptor>. Contoh: https://signin-intl.aliyun.com/57******81/saml/SSO.

      • Location: Nilai atribut Location dalam elemen <md:AssertionConsumerService>. Contoh: https://signin-intl.aliyun.com/saml/SSO.

    Langkah 2: Buat aplikasi di Okta

    1. Masuk ke Okta portal.

    2. Di panel navigasi sebelah kiri, pilih Applications > Applications.

    3. Pada halaman Applications, klik Create App Integration.

    4. Pada dialog box Create a new app integration, pilih SAML 2.0 lalu klik Next.

    5. Pada langkah General Settings, masukkan nama aplikasi di bidang App name, misalnya AliyunSSODemo, lalu klik Next.

    6. Pada langkah Configure SAML, konfigurasikan parameter berikut di bagian SAML Settings lalu klik Next.

      • Single sign on URL: Masukkan nilai Location yang telah Anda catat di Langkah 1.

      • Audience URI (SP Entity ID): Masukkan nilai entityID yang telah Anda catat di Langkah 1.

      • Default RelayState: Tentukan halaman konsol Alibaba Cloud tempat pengguna diarahkan setelah berhasil masuk melalui SSO. Jika dibiarkan kosong, pengguna akan diarahkan ke halaman utama Konsol Manajemen Alibaba Cloud.

        Catatan

        Untuk alasan keamanan, URL pada Default RelayState harus berasal dari domain yang dimiliki Alibaba, seperti *.aliyun.com, *.hichina.com, *.yunos.com, *.taobao.com, *.tmall.com, *.alibabacloud.com, atau *.alipay.com. Jika Anda menentukan URL dari domain yang tidak diizinkan, Default RelayState akan diabaikan.

      • Name ID format: Pilih Persistent.

      • Application username: Pilih Email.

    7. Pada halaman Feedback, pilih tipe aplikasi sesuai kebutuhan Anda lalu klik Finish.

    Langkah 3: Dapatkan metadata SAML IdP dari Okta

    1. Pada halaman detail aplikasi SAML yang telah Anda buat (misalnya AliyunSSODemo), klik tab Sign On.

    2. Di bagian Settings , salin Metadata URL. Buka URL tersebut di tab browser baru. Pada halaman yang muncul, klik kanan lalu pilih Save As untuk mengunduh file metadata ke komputer Anda.

    Langkah 4: Konfigurasikan SSO berbasis pengguna di Alibaba Cloud

    1. Di panel navigasi sebelah kiri Konsol RAM, pilih Integrations > SSO.

    2. Klik tab User-based SSO. Pilih Enabled di sebelah kanan SSO Status.

      Catatan

      Ini adalah pengaturan global yang berlaku untuk semua RAM user. Setelah diaktifkan, RAM user tidak lagi dapat masuk menggunakan username dan password. Jika Anda sedang masuk sebagai RAM user, jangan aktifkan SSO hingga Anda memastikan konfigurasi sudah benar. Untuk menghindari terkunci, kami menyarankan melakukan konfigurasi ini saat masuk dengan Akun Alibaba Cloud Anda.

    3. Di bagian Metadata File, klik Upload Metadata File untuk mengunggah file metadata IdP yang telah Anda unduh di Langkah 3.

    4. Klik Edit di sebelah kanan Auxiliary Domain Name. Aktifkan fitur tersebut dan masukkan akhiran alamat email pengguna Okta Anda (misalnya example.com).

      Catatan

      Jika organisasi Okta Anda memiliki pengguna dengan beberapa domain email, hanya pengguna yang akhiran alamat emailnya sesuai dengan yang dikonfigurasi di sini yang dapat masuk ke Alibaba Cloud melalui SSO.

    Langkah 5: Tetapkan aplikasi ke pengguna Okta

    1. Di panel navigasi sebelah kiri, pilih Directory > People.

    2. Klik Add person.

    3. Pada halaman Add Person, masukkan informasi dasar, atur Primary email menjadi u2@example.com, lalu klik Save.

    4. Di daftar pengguna, temukan pengguna u2@example.com lalu klik Activate di kolom Status. Kemudian, aktifkan pengguna sesuai petunjuk.

    5. Di panel navigasi sebelah kiri, pilih Applications > Applications.

    6. Klik nama aplikasi (AliyunSSODemo) untuk membuka halaman detailnya. Pada tab Assignments, pilih Assign > Assign to People.

    7. Temukan pengguna (u2@example.com) lalu klik Assign.

    8. Klik Save and Go Back.

    9. Klik Done.

    Langkah 6: Buat RAM user di Alibaba Cloud

    1. Di panel navigasi sebelah kiri Konsol RAM, pilih Identities > Users.

    2. Pada halaman Users, klik Create User.

    3. Pada halaman Create User, konfigurasikan parameter Logon Name dan Display Name.

      Catatan

      Awalan logon name RAM user (bagian sebelum simbol @) harus persis sama dengan awalan username pengguna Okta. Dalam contoh ini, karena username Okta adalah u2@example.com, logon name RAM user harus diawali dengan u2.

    4. Di bagian Access Mode, pilih Console Access. Anda tidak perlu mengonfigurasi password karena pengguna akan diautentikasi melalui SSO.

    5. Klik OK.

    Verifikasi konfigurasi SSO

    Anda dapat memverifikasi konfigurasi dengan memulai SSO baik dari Alibaba Cloud (SP-initiated) maupun dari Okta (IdP-initiated).

    SP-initiated logon

    1. Masuk ke Konsol RAM. Pada halaman Overview, salin URL login untuk RAM user.

    2. Arahkan kursor ke gambar profil di pojok kanan atas lalu klik Log Out. Kemudian, buka URL login RAM user tersebut.

    3. Klik Login with Cloud Account. Anda akan diarahkan ke halaman login Okta.

    4. Pada halaman login Okta, masukkan username (u2@example.com) dan password, lalu klik Login.

      Setelah autentikasi berhasil, Anda akan otomatis masuk ke Konsol Manajemen Alibaba Cloud dan diarahkan ke halaman yang ditentukan oleh parameter DefaultRelayState. Jika DefaultRelayState tidak diatur atau tidak valid, Anda akan diarahkan ke halaman utama Konsol Manajemen Alibaba Cloud.

    IdP-initiated logon

    Masuk ke Okta portal sebagai pengguna Okta. Di halaman utama Okta, klik aplikasi yang telah Anda buat (AliyunSSODemo).

    Setelah autentikasi berhasil, Anda akan otomatis masuk ke Konsol Manajemen Alibaba Cloud dan diarahkan ke halaman yang ditentukan oleh parameter DefaultRelayState. Jika DefaultRelayState tidak diatur atau tidak valid, Anda akan diarahkan ke halaman utama Konsol Manajemen Alibaba Cloud.