Jika Alibaba Cloud dan sistem manajemen identitas perusahaan bekerja sama untuk mengimplementasikan single sign-on (SSO) berbasis peran, maka Alibaba Cloud bertindak sebagai penyedia layanan (SP), sedangkan sistem manajemen identitas berfungsi sebagai penyedia identitas (IdP). SSO berbasis peran memungkinkan perusahaan mengelola pengguna di IdP lokal tanpa harus mensinkronkan pengguna ke Alibaba Cloud. Selain itu, karyawan dapat mengakses Alibaba Cloud menggunakan Peran RAM tertentu.
Proses
SSO berbasis peran memungkinkan karyawan mengakses Alibaba Cloud melalui Konsol Manajemen Alibaba Cloud atau program.
Akses Alibaba Cloud melalui Konsol Manajemen Alibaba Cloud
Gambar berikut menunjukkan cara Alice, seorang karyawan, mengakses Alibaba Cloud melalui Konsol Manajemen Alibaba Cloud setelah administrator mengonfigurasi SSO berbasis peran.
Berikut adalah penjelasan prosesnya:
Alice membuka halaman login IdP di browser dan memilih Alibaba Cloud sebagai layanan yang diperlukan.
Dalam contoh ini, IdP adalah Microsoft Active Directory Federation Services (AD FS). Oleh karena itu, URL login adalah
https://ADFSServiceName/adfs/ls/IdpInitiatedSignOn.aspx.CatatanBeberapa IdP mengharuskan pengguna untuk masuk terlebih dahulu sebelum memilih aplikasi SSO yang mewakili Alibaba Cloud.
IdP menghasilkan respons Security Assertion Markup Language (SAML) dan mengembalikannya ke browser.
Browser mengarahkan Alice ke halaman layanan SSO dan meneruskan respons SAML ke layanan tersebut.
Layanan SSO menggunakan respons SAML untuk meminta token STS dari Layanan Token Keamanan Alibaba Cloud (STS). Kemudian, layanan SSO menghasilkan URL yang dapat digunakan Alice untuk masuk ke Konsol Manajemen Alibaba Cloud menggunakan token STS.
CatatanJika respons SAML berisi atribut yang dipetakan ke beberapa Peran RAM, Alice harus memilih peran terlebih dahulu.
Layanan SSO mengembalikan URL ke browser.
Browser mengarahkan Alice ke URL tersebut, dan Alice masuk ke Konsol Manajemen Alibaba Cloud sebagai peran yang ditentukan.
Akses Alibaba Cloud menggunakan program
Gambar berikut menunjukkan cara Alice mengakses Alibaba Cloud menggunakan program.
Berikut adalah penjelasan prosesnya:
Alice mengirim permintaan login ke IdP menggunakan program.
IdP menghasilkan respons SAML yang berisi asersi SAML dan mengembalikannya ke program.
Program memanggil operasi AssumeRoleWithSAML dari Alibaba Cloud STS dan meneruskan informasi berikut:
Nama Sumber Daya Alibaba Cloud (ARN) dari IdP, ARN dari peran yang akan diasumsikan, dan asersi SAML yang diperoleh dari IdP.
STS memverifikasi asersi SAML dan mengembalikan token STS ke program.
Program memanggil operasi API Alibaba Cloud menggunakan token STS.
Konfigurasikan SSO berbasis peran
Sebelum mengimplementasikan SSO berbasis peran, Anda harus membangun kepercayaan antara Alibaba Cloud dan IdP Anda.
Konfigurasikan IdP di Konsol Manajemen Alibaba Cloud untuk memastikan bahwa IdP Anda dipercaya oleh Alibaba Cloud.
Untuk informasi lebih lanjut, lihat Konfigurasikan pengaturan SAML Alibaba Cloud untuk SSO berbasis peran.
Gunakan program atau masuk ke konsol RAM untuk membuat Peran RAM untuk SSO berbasis peran dan memberikan izin kepada Peran RAM tersebut.
Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk IdP tepercaya.
Konfigurasikan Alibaba Cloud sebagai SP SAML tepercaya dan konfigurasikan asersi SAML di IdP Anda untuk memastikan bahwa Alibaba Cloud dipercaya oleh IdP Anda.
Untuk informasi lebih lanjut, lihat Konfigurasikan Alibaba Cloud sebagai SP tepercaya untuk SSO berbasis peran.
Contoh
Berikut adalah contoh implementasi SSO berbasis peran ke Alibaba Cloud dari IdP perusahaan umum: