Resource Access Management：Implementasi SSO berbasis pengguna dari AD FS

Prasyarat

Sebelum mengonfigurasi SSO, lakukan langkah-langkah berikut:

1. Terapkan layanan berikut pada Instance ECS yang menjalankan Windows Server 2012 R2:

   • Server DNS: untuk menyelesaikan dan mengirim permintaan otentikasi identitas ke Layanan Federasi yang benar.

   • Layanan Domain Direktori Aktif (AD DS): memungkinkan pembuatan, penanyakan, dan modifikasi objek seperti pengguna domain dan perangkat domain.

   • AD FS: digunakan untuk mengonfigurasi pihak yang mengandalkan SSO dan melakukan otentikasi SSO untuk pihak tersebut.

     Penting

     Konfigurasi Microsoft AD dalam topik ini hanya untuk referensi guna membantu Anda memahami prosedur konfigurasi logon SSO ke Alibaba Cloud. Alibaba Cloud tidak menyediakan layanan konsultasi untuk konfigurasi Microsoft AD. Untuk informasi lebih lanjut tentang cara menerapkan AD FS, lihat Membangun domain AD pada instance Windows.

2. Siapkan data berikut:

   • Nama domain default akun Alibaba Cloud: secloud.onaliyun.com.

   • Nama pengguna RAM yang termasuk dalam akun Alibaba Cloud: alice. User Principal Name (UPN) pengguna RAM adalah alice@secloud.onaliyun.com.

   • Nama layanan AD FS yang telah didaftarkan di Microsoft AD: adfs.secloud.club.

   • Nama domain Microsoft AD: secloud.club. Nama NetBIOS adalah secloud.

   • UPN pengguna RAM alice di Microsoft AD: alice@secloud.club. Pengguna RAM juga dapat menggunakan secloud\alice untuk masuk dari domain Microsoft AD.

Langkah 1: Konfigurasikan AD FS sebagai Penyedia Identitas SAML tepercaya di RAM

1. Masukkan URL berikut di bilah alamat browser Anda: https://adfs.secloud.club/FederationMetadata/2007-06/FederationMetadata.xml.

2. Unduh file metadata dalam format XML ke komputer Anda.

3. Masuk ke konsol RAM dan gunakan file metadata untuk konfigurasi SSO.

   Untuk informasi lebih lanjut, lihat Konfigurasikan pengaturan SAML Alibaba Cloud untuk SSO berbasis pengguna.

   Catatan

   Jika ukuran file metadata melebihi batas atas, Anda dapat menghapus semua konten di <fed:ClaimTypesRequested> dan <fed:ClaimTypesOffered>.

Langkah 2: Konfigurasikan Alibaba Cloud sebagai Penyedia Layanan SAML tepercaya di AD FS

Di AD FS, Penyedia Layanan Bahasa Markup Assertion Keamanan (SAML) (SP) disebut relying party. Untuk mengonfigurasi Alibaba Cloud sebagai SP tepercaya, ikuti langkah-langkah berikut:

1. Di bilah navigasi atas Server Manager, pilih Tools > AD FS Management.

   

2. Klik kanan Relying Parties dan pilih Add Relying Party Trust.

   

3. Konfigurasikan metadata SAML Alibaba Cloud untuk pihak yang mengandalkan.

   Untuk melihat URL metadata SAML, masuk ke konsol RAM. Di panel navigasi sisi kiri, klik SSO. Pada halaman yang muncul, klik User-based SSO. Anda dapat melihat URL di bagian Setup SSO. Anda dapat langsung memasukkan URL metadata saat mengonfigurasi pihak yang mengandalkan di AD FS.

   

Setelah pihak yang mengandalkan dikonfigurasi, Alibaba Cloud mengirim permintaan ke layanan AD FS dengan nama adfs.secloud.club. Permintaan ini bertujuan untuk mengotentikasi pengguna RAM yang termasuk dalam akun Alibaba Cloud dengan nama domain default secloud.onaliyun.com. Setelah AD FS menerima permintaan, ia mengotentikasi pengguna RAM dan mengirim respons ke Alibaba Cloud.

Langkah 3: Konfigurasikan atribut asertasi SAML untuk SP Alibaba Cloud

Disarankan untuk menetapkan nilai bidang NameID dalam asertasi SAML ke UPN pengguna RAM. Dengan cara ini, Alibaba Cloud dapat mengidentifikasi pengguna RAM yang benar berdasarkan respons SAML.

Anda harus menetapkan UPN di Microsoft AD ke nilai NameID dalam asertasi SAML.

1. Klik kanan nama tampilan pihak yang mengandalkan dan pilih Edit Claim Rules.

   

2. Klik Issuance Transform Rules untuk menambahkan aturan.

   Catatan

   Aturan transformasi penerbitan menunjukkan cara mentransformasi atribut pengguna yang diketahui dan menerbitkannya sebagai atribut dalam asertasi SAML. Anda harus menerbitkan UPN pengguna di Microsoft AD sebagai NameID. Dalam hal ini, aturan baru diperlukan.

   

3. Tetapkan Claim rule template ke Transform an Incoming Claim.

   

4. Pilih Edit Rule.

   Catatan

   Dalam contoh ini, nama domain UPN di akun Alibaba Cloud adalah secloud.onaliyun.com, dan nama domain UPN di Microsoft AD adalah secloud.club. Jika Anda memetakan UPN di Microsoft AD ke NameID, pengguna tidak dapat diidentifikasi oleh Alibaba Cloud.

   Untuk menyelesaikan masalah ini, gunakan salah satu metode berikut:

   1. Metode 1: Tetapkan nama domain Microsoft AD ke domain alias yang dikonfigurasi di RAM.

      Jika nama domain secloud.club Microsoft AD terdaftar di DNS Internet, Anda dapat mengubah secloud.club menjadi domain alias yang dikonfigurasi di RAM. Untuk informasi lebih lanjut tentang cara mengonfigurasi alias domain, lihat Buat dan verifikasi alias domain.

      Setelah pengaturan selesai, petakan UPN ke NameID di kotak dialog Edit Rule.

      

   2. Metode 2: Transformasikan nama domain di AD FS.

      Jika nama domain secloud.club adalah nama domain internal perusahaan, kepemilikan domain perusahaan tidak dapat diverifikasi oleh Alibaba Cloud. RAM hanya dapat menggunakan nama domain default secloud.onaliyun.com.

      Dalam hal ini, Anda harus mengubah akhiran nama domain secloud.club dari UPN menjadi secloud.onaliyun.com dalam asertasi SAML yang diterbitkan oleh AD FS ke Alibaba Cloud.

   3. Metode 3: Tentukan nama domain Microsoft AD sebagai nama domain tambahan untuk SSO berbasis pengguna.

      Jika nama domain secloud.club adalah nama domain internal perusahaan, kepemilikan domain perusahaan tidak dapat diverifikasi oleh Alibaba Cloud. Dalam hal ini, Anda dapat menentukan secloud.club sebagai nama domain tambahan tanpa perlu mentransformasikan nama domain. Untuk informasi tentang cara menentukan nama domain tambahan, lihat Konfigurasikan pengaturan SAML Alibaba Cloud untuk SSO berbasis pengguna.

      Setelah pengaturan selesai, petakan UPN ke NameID di kotak dialog Edit Rule.