Single Sign-On (SSO) berbasis peran dengan SAML 2.0 memungkinkan pengguna dari penyedia identitas (IdP) perusahaan Anda mengakses Alibaba Cloud dengan mengasumsikan suatu peran Resource Access Management (RAM). Metode ini memungkinkan Anda mengelola identitas pengguna secara terpusat di IdP tanpa harus membuat dan mengelola Pengguna RAM individual di Alibaba Cloud.
Cara kerja SSO SAML berbasis peran
Pengguna federasi dapat mengakses resource Alibaba Cloud melalui Konsol atau secara programatik melalui API.
Akses konsol
Diagram berikut menggambarkan alur yang dimulai oleh IdP saat pengguna masuk ke Konsol Manajemen Alibaba Cloud.
Pengguna masuk ke portal aplikasi perusahaan Anda dan memilih aplikasi Alibaba Cloud.
IdP Anda mengotentikasi pengguna dan menghasilkan respons SAML yang berisi pernyataan tentang identitas pengguna serta peran RAM yang boleh diasumsikan. IdP mengirim respons ini ke browser pengguna.
Browser meneruskan respons SAML ke titik akhir SSO Alibaba Cloud.
Layanan SSO memvalidasi pernyataan tersebut. Jika pernyataan tersebut menentukan beberapa peran, pengguna akan diminta memilih peran RAM mana yang akan diasumsikan.
Layanan SSO meminta kredensial sementara dari Security Token Service (STS) untuk peran yang dipilih.
STS mengembalikan kredensial sementara, yang digunakan layanan SSO untuk menghasilkan URL yang ditandatangani sebelumnya guna akses konsol.
Layanan SSO mengarahkan ulang browser pengguna ke Konsol Manajemen Alibaba Cloud, dan pengguna masuk dengan izin dari peran RAM yang diasumsikan.
Akses programatik (API)
Pengguna federasi juga dapat memperoleh kredensial sementara untuk melakukan panggilan API langsung ke layanan Alibaba Cloud.
Aplikasi atau skrip mengotentikasi pengguna terhadap IdP perusahaan Anda.
IdP mengembalikan respons SAML ke aplikasi.
Aplikasi memanggil operasi API AssumeRoleWithSAML STS, dengan menyertakan pernyataan SAML, ARN peran RAM yang diinginkan, dan ARN IdP.
STS memvalidasi pernyataan SAML dan memastikan bahwa peran yang diminta termasuk dalam atribut pernyataan tersebut.
Jika permintaan valid, STS mengembalikan kredensial keamanan sementara (ID AccessKey, Rahasia AccessKey, dan token keamanan).
Aplikasi menggunakan kredensial sementara ini untuk membuat permintaan API yang ditandatangani ke layanan Alibaba Cloud lainnya.
Ikhtisar konfigurasi
Menyiapkan SSO berbasis peran memerlukan konfigurasi hubungan kepercayaan baik di Alibaba Cloud maupun di IdP Anda.
Buat SAML IdP di Alibaba Cloud.
Anda memberikan metadata dari IdP perusahaan Anda ke Alibaba Cloud. Hal ini memberi tahu Alibaba Cloud untuk mempercayai pernyataan dari IdP Anda. Untuk informasi selengkapnya, lihat Konfigurasi SAML di Alibaba Cloud (sebagai SP).
Buat peran RAM untuk federasi.
Untuk setiap kumpulan izin yang ingin Anda berikan kepada pengguna federasi, Anda membuat peran RAM. Kebijakan kepercayaan peran tersebut harus menentukan SAML IdP yang telah Anda buat sebagai Pihak yang berwenang tepercaya. Untuk informasi selengkapnya, lihat Buat peran RAM untuk IdP tepercaya.
Konfigurasikan IdP Anda.
Anda menambahkan Alibaba Cloud sebagai penyedia layanan (SP) tepercaya di IdP Anda dan mengonfigurasi aturan klaim untuk mengirim atribut yang diperlukan dalam pernyataan SAML. Atribut tersebut mencakup peran RAM spesifik yang boleh diasumsikan pengguna. Untuk informasi selengkapnya, lihat Konfigurasi Alibaba Cloud sebagai SP di IdP Anda.
Tutorial konfigurasi
Topik berikut menyediakan tutorial terperinci untuk mengonfigurasi SSO SAML berbasis peran dengan IdP umum: