Dengan Single Sign-On (SSO) berbasis pengguna, Alibaba Cloud bertindak sebagai penyedia layanan (SP) dan sistem identitas perusahaan Anda berperan sebagai penyedia identitas (IdP). Hal ini memungkinkan karyawan Anda masuk ke Alibaba Cloud sebagai Pengguna Resource Access Management (RAM) menggunakan kredensial perusahaan mereka.
Cara kerja
Setelah administrator mengonfigurasi SSO berbasis pengguna, seorang karyawan bernama Alice dapat masuk ke Alibaba Cloud. Gambar berikut mengilustrasikan alur otentikasi tersebut.
Alice menggunakan browser untuk masuk ke Alibaba Cloud. Alibaba Cloud mengembalikan permintaan otentikasi SAML ke browser.
Browser meneruskan permintaan otentikasi SAML tersebut ke IdP.
IdP meminta Alice untuk masuk. Setelah otentikasi berhasil, IdP menghasilkan respons SAML dan mengembalikannya ke browser.
Browser meneruskan respons SAML tersebut ke layanan SSO.
Berdasarkan konfigurasi trust SAML, layanan SSO memverifikasi keaslian pernyataan SAML dengan memeriksa tanda tangan digital pada respons SAML, lalu menggunakan nilai elemen
NameIDdalam pernyataan tersebut untuk memetakan identitas ke Pengguna Resource Access Management (RAM) yang sesuai dalam akun Alibaba Cloud.Layanan SSO mengembalikan URL Konsol Manajemen Alibaba Cloud ke browser.
Browser melakukan pengalihan ke Konsol Manajemen Alibaba Cloud.
CatatanProses ini juga dapat dimulai dari IdP. Alih-alih memulai dari Alibaba Cloud seperti yang dijelaskan pada langkah 1, karyawan dapat membuka portal IdP perusahaan Anda dan mengklik tautan untuk masuk ke Alibaba Cloud. Tindakan ini mengirimkan permintaan otentikasi SAML langsung ke IdP.
Langkah-langkah konfigurasi
Untuk membangun hubungan trust antara Alibaba Cloud dan IdP Anda, Anda harus mengonfigurasi pengaturan SAML baik di Alibaba Cloud (sebagai SP) maupun di IdP Anda. Kedua konfigurasi tersebut harus lengkap sebelum Anda dapat menggunakan SSO.
Bangun trust Alibaba Cloud terhadap IdP Anda dengan mengonfigurasi pengaturan IdP di Alibaba Cloud.
Untuk informasi lebih lanjut, lihat Konfigurasi SAML di Alibaba Cloud (sebagai SP).
Bangun trust IdP Anda terhadap Alibaba Cloud dengan mengonfigurasi Alibaba Cloud sebagai SP SAML tepercaya dan menyetel atribut pernyataan SAML di IdP Anda.
Untuk informasi lebih lanjut, lihat Konfigurasi pengaturan SAML IdP perusahaan untuk SSO berbasis pengguna.
Setelah mengonfigurasi IdP dan Alibaba Cloud, Anda harus membuat Pengguna RAM yang sesuai dengan pengguna di IdP Anda. Anda dapat membuat pengguna tersebut menggunakan software development kit (SDK), command-line interface (CLI), atau di Konsol RAM.
Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Contoh konfigurasi
Topik-topik berikut menyediakan contoh konfigurasi SSO berbasis pengguna antara IdP perusahaan umum dan Alibaba Cloud: