全部产品
Search

搜索本产品

    Resource Access Management:Panduan Cepat: Mengonfigurasi single sign-on untuk penyedia identitas perusahaan

    文档中心

    Resource Access Management:Panduan Cepat: Mengonfigurasi single sign-on untuk penyedia identitas perusahaan

    更新时间:Nov 11, 2025

    Panduan cepat ini menggunakan Microsoft Entra ID (sebelumnya Azure AD) sebagai contoh penyedia identitas untuk menjelaskan cara mengonfigurasi SSO berbasis peran. Setelah konfigurasi selesai, pengguna dapat masuk menggunakan akun Microsoft Entra ID mereka dan mengasumsikan peran RAM Alibaba Cloud tertentu. Proses ini menyediakan token sementara dari Security Token Service (STS) untuk mengakses sumber daya cloud.

    Catatan

    Sebelum mengonfigurasi SSO berbasis peran di lingkungan Anda, pastikan layanan Alibaba Cloud yang ingin Anda gunakan mendukung peran RAM. Untuk informasi selengkapnya, lihat Layanan Alibaba Cloud yang mendukung STS.

    Alur konfigurasi

    Dalam contoh ini, Microsoft Entra ID berperan sebagai penyedia identitas (IdP), sedangkan Alibaba Cloud RAM berperan sebagai penyedia layanan (SP). Konfigurasi inti menetapkan hubungan kepercayaan bi-directional antara IdP dan SP serta memetakan peran aplikasi di Microsoft Entra ID ke peran RAM di Alibaba Cloud.

    1. Langkah 1: Membuat aplikasi perusahaan di Microsoft Entra ID. Buat aplikasi perusahaan dari galeri aplikasi Microsoft Entra ID menggunakan templat aplikasi Alibaba Cloud Service (Role-based SSO).

    2. Langkah 2: Mengonfigurasi SAML di Microsoft Entra ID. Konfigurasikan SSO berbasis peran Alibaba Cloud sebagai Service Provider SAML tepercaya di Microsoft Entra ID.

    3. Langkah 3: Membuat penyedia identitas di Alibaba Cloud. Konfigurasikan Microsoft Entra ID sebagai Identity Provider SAML tepercaya di Alibaba Cloud RAM.

    4. Langkah 4: Membuat peran RAM di Alibaba Cloud. Buat peran RAM di Alibaba Cloud RAM dengan tipe Trusted Entity diatur ke Identity Provider.

    5. Langkah 5: Membuat peran aplikasi dan menetapkan pengguna di Microsoft Entra ID. Buat dan konfigurasikan peran aplikasi untuk aplikasi SSO berbasis peran Alibaba Cloud di Microsoft Entra ID, lalu tetapkan pengguna uji coba ke aplikasi perusahaan tersebut.

    6. Verifikasi log masuk SSO. Verifikasi bahwa log masuk SSO berbasis peran berhasil.

    Persiapan

    • Diperlukan administrator RAM dengan izin AliyunRAMFullAccess untuk melakukan operasi di Konsol RAM. Untuk informasi selengkapnya tentang cara membuat pengguna RAM dan memberikan izin, lihat Membuat pengguna RAM dan Memberikan izin kepada pengguna RAM.

    • Diperlukan administrator Microsoft Entra ID dengan peran Global Administrator untuk melakukan operasi di Microsoft Entra ID. Untuk informasi selengkapnya tentang cara membuat pengguna dan memberikan izin di Microsoft Entra ID, lihat Dokumentasi Microsoft Entra ID.

    Langkah 1: Membuat aplikasi perusahaan di Microsoft Entra ID

    1. Masuk ke portal Azure sebagai administrator Microsoft Entra ID.

    2. Di pojok kiri atas halaman utama, klik ikon SSO_AAD_icon.

    3. Di panel navigasi sebelah kiri, pilih Microsoft Entra ID > Manage > Enterprise Applications > All Applications.

    4. Klik New Application.

    5. Cari dan klik Alibaba Cloud Service (Role-based SSO).

    6. Masukkan nama aplikasi dan klik Create.

      Contoh ini menggunakan nama aplikasi default Alibaba Cloud Service (Role-based SSO). Anda juga dapat menggunakan nama aplikasi kustom.

    Langkah 2: Mengonfigurasi SAML di Microsoft Entra ID

    1. Di halaman Alibaba Cloud Service (Role-based SSO), di panel navigasi sebelah kiri, pilih Manage > Single Sign-on.

    2. Klik SAML.

    3. Konfigurasikan informasi SSO.

      1. Di pojok kiri atas halaman, klik Upload Metadata File, pilih file metadata SSO berbasis peran Alibaba Cloud, lalu klik Add.

        Catatan

        Anda dapat memperoleh file metadata dari URL berikut. Buka URL tersebut di jendela browser baru dan simpan file XML metadata ke komputer Anda: https://signin.alibabacloud.com/saml-role/sp-metadata.xml.

      2. Di halaman Basic SAML Configuration, konfigurasikan informasi berikut dan klik Save.

        • Identifier (Entity ID): Nilai entityID secara otomatis diisi dari file metadata pada langkah sebelumnya.

        • Reply URL (Assertion Consumer Service URL): Nilai Location secara otomatis diisi dari file metadata pada langkah sebelumnya.

      3. Di bagian Attributes & Claims, klik ikon 编辑 dan verifikasi bahwa dua klaim berikut ada.

        image

        Jika tidak ada, klik Add New Claim dan tambahkan dua klaim tersebut berdasarkan informasi dalam tabel berikut.

        Name

        Namespace

        Source

        Source Attribute

        Role

        https://www.aliyun.com/SAML-Role/Attributes

        Attribute

        user.assignedroles

        RoleSessionName

        https://www.aliyun.com/SAML-Role/Attributes

        Attribute

        user.userprincipalname

      4. Di bagian SAML Certificates, klik Download untuk mendapatkan Federation Metadata XML.

    Langkah 3: Membuat penyedia identitas di Alibaba Cloud

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Integration Management > SSO Management.

    3. Di tab Role-based SSO, klik tab SAML, lalu klik Create Identity Provider.

    4. Di halaman Create Identity Provider, atur Identity Provider Name menjadi AAD.

    5. Klik Upload Metadata dan unggah file Federation Metadata XML yang telah Anda unduh di Langkah 2: Mengonfigurasi SAML di Microsoft Entra ID.

    6. Klik Create Identity Provider.

    7. Klik penyedia identitas yang telah dibuat AAD. Di bagian Basic Information, cari dan salin ARN penyedia identitas untuk digunakan nanti.

    Langkah 4: Membuat peran RAM di Alibaba Cloud

    1. Di panel navigasi sebelah kiri Konsol RAM, pilih Identity Management > Roles.

    2. Di halaman Roles, klik Create Role.

    3. Di pojok kanan atas halaman Create Role, klik Switch Editor.

    4. Tentukan penyedia identitas SAML di editor.

      Editor mendukung mode editor visual dan editor skrip. Anda dapat memilih salah satu mode. Contoh ini menggunakan editor visual. Di bagian Principal, pilih tipe entitas tepercaya Identity Provider dan klik Edit. Kemudian, tentukan AAD sebagai penyedia identitas dan atur Identity Provider Type ke SAML.

    5. Di kotak dialog Create Role, masukkan Role Name (AADrole) dan klik OK untuk membuat peran tersebut.

    6. Klik peran RAM yang telah dibuat. Di bagian Basic Information, cari dan salin ARN peran tersebut untuk digunakan nanti.

    Catatan

    Anda dapat menambahkan izin ke peran RAM sesuai kebutuhan. Untuk informasi selengkapnya, lihat Memberikan izin kepada peran RAM.

    Langkah 5: Membuat peran aplikasi dan menetapkan pengguna di Microsoft Entra ID

    1. Buat peran di Microsoft Entra ID.

      1. Masuk ke portal Azure sebagai administrator.

      2. Di panel navigasi sebelah kiri, pilih Microsoft Entra ID > Manage > App Registrations.

      3. Klik tab All Applications, lalu klik Alibaba Cloud Service (Role-based SSO).

      4. Di panel navigasi sebelah kiri, pilih Manage > App Roles.

      5. Klik Create App Role.

      6. Di halaman Create App Role, konfigurasikan informasi peran berikut dan klik Apply.

        • Display Name: Masukkan Admin untuk contoh ini.

        • Allowed Member Types: Pilih Users/Groups + Applications untuk contoh ini.

        • Value: Masukkan ARN peran RAM dan ARN penyedia identitas, dipisahkan dengan koma (,). Untuk contoh ini, masukkan acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD.

          Catatan

          Urutan input harus berupa ARN peran RAM,ARN penyedia identitas. Urutan yang salah menyebabkan log masuk SSO berbasis peran gagal.

        • Description: Masukkan deskripsi.

        • Pilih Do You Want To Enable This App Role?.

      Catatan

      Untuk membuat beberapa peran di Microsoft Entra ID, ulangi langkah-langkah sebelumnya dan atur nama tampilan serta nilai peran aplikasi yang berbeda.

    2. Tetapkan pengguna ke aplikasi perusahaan dan tentukan peran.

      1. Di panel navigasi sebelah kiri, pilih Microsoft Entra ID > Manage > Enterprise Applications > All Applications.

      2. Di daftar Name, klik Alibaba Cloud Service (Role-based SSO).

      3. Di panel navigasi sebelah kiri, pilih Manage > Users And Groups.

      4. Di pojok kiri atas, klik Add User/group.

      5. Di halaman Add Assignment, pilih pengguna target dan klik Select.

      6. Pastikan peran yang dipilih adalah Admin. Jika tidak, ubah menjadi Admin. Lalu, klik Assign.

    Verifikasi log masuk SSO

    SSO berbasis peran hanya mendukung log masuk SSO yang diinisiasi oleh IdP. Oleh karena itu, Anda harus masuk dari Microsoft Entra ID untuk memverifikasi hasilnya.

    1. Dapatkan URL akses pengguna.

      1. Masuk ke portal Azure sebagai administrator.

      2. Di panel navigasi sebelah kiri, pilih Microsoft Entra ID > Manage > Enterprise Applications > All Applications.

      3. Di daftar Name, klik Alibaba Cloud Service (Role-based SSO).

      4. Di panel navigasi sebelah kiri, pilih Manage > Properties dan dapatkan User Access URL.

        用户访问URL

    2. Pengguna uji coba (ssotest01@example.onmicrosoft.com) memperoleh User Access URL dari administrator, memasukkan URL tersebut di browser, dan masuk dengan akun mereka. Setelah berhasil masuk, pengguna akan diarahkan ke Konsol Manajemen Alibaba Cloud. Peran RAM yang ditentukan (aadrole) ditampilkan sebelum nama akun.

      74AD0757-1D76-4AA9-BE1B-CEA53CD9219A

    Referensi

    Untuk informasi selengkapnya, lihat topik-topik berikut: