Resource Access Management：FAQ tentang SSO

Penyebab

Solusi

Alibaba Cloud menggunakan User Principal Name (UPN) untuk mengidentifikasi pengguna RAM. Respons SAML dari penyedia identitas (IdP) Anda harus mencakup UPN pengguna RAM. Akhiran UPN bisa berupa alias domain, nama domain tambahan, atau nama domain default. Jika akhiran nama pengguna di IdP Anda berbeda dari akhiran UPN pengguna RAM, kecocokan akan gagal. Untuk informasi lebih lanjut, lihat elemen NameID dan bagian NameID example dalam Respons SAML untuk SSO berbasis pengguna.

Tentukan nama domain tambahan agar akhiran UPN pengguna RAM sesuai dengan akhiran nama pengguna di IdP Anda. Untuk informasi lebih lanjut, lihat Konfigurasikan pengaturan SAML Alibaba Cloud untuk SSO berbasis peran.

Tidak ada pengguna RAM yang dibuat di RAM, atau nama pengguna pengguna RAM yang dibuat berbeda dari nama pengguna di IdP Anda.

• Ubah nama pengguna RAM menjadi nama pengguna di IdP Anda.

• Nama pengguna RAM dapat memiliki panjang hingga 64 karakter dan hanya boleh berisi huruf, angka, tanda hubung (-), garis bawah (_), dan titik (.). Nama pengguna di IdP Anda juga harus memenuhi persyaratan ini. Jika nama pengguna di IdP Anda tidak memenuhi persyaratan ini, gunakan salah satu metode berikut:

  • Ubah nama pengguna di IdP Anda sesuai persyaratan ini.

  • Ubah bidang yang secara unik mengidentifikasi pengguna dalam pengaturan SSO IdP Anda. Misalnya, gunakan alamat email pengguna, yang dapat secara unik mengidentifikasi pengguna tanpa karakter khusus.

  • Konfigurasikan aturan konversi pemetaan nama pengguna dalam pengaturan SSO IdP Anda.

Pengguna gagal disinkronkan menggunakan System for Cross-domain Identity Management (SCIM).

Periksa log sinkronisasi SCIM di IdP Anda dan analisis masalah tersebut.

UPN pengguna di IdP Anda berbeda dari UPN yang disinkronkan ke RAM. Berikut adalah kemungkinan penyebab:

• Nama pengguna yang disinkronkan ke RAM menggunakan SCIM tidak menggunakan UPN.

• Aturan konversi pemetaan nama pengguna dikonfigurasi dalam pengaturan sinkronisasi SCIM.

Pastikan aturan konversi yang dikonfigurasi dalam pengaturan SSO IdP Anda sama dengan aturan konversi dalam pengaturan sinkronisasi SCIM.

Sub-elemen Audience dalam elemen Conditions di respons SAML diatur ke nilai yang tidak valid. Secara khusus, nilai accountId tidak valid.

Dalam respons SAML, temukan sub-elemen AudienceRestriction dalam elemen Conditions dan pastikan sub-elemen AudienceRestriction berisi sub-elemen Audience, sub-elemen Audience diatur ke https://signin-intl.aliyun.com/${accountId}/saml/SSO, dan nilai ${accountId} adalah ID akun Alibaba Cloud.

Beberapa IdP menggunakan sub-elemen Audience URL. Pastikan nilai sub-elemen tersebut benar.

Penyebab

Solusi

Dalam elemen AttributeStatement dari respons SAML, cari elemen Attribute yang atribut Namanya diatur ke https://www.aliyun.com/SAML-Role/Attributes/Role. Nilai elemen Atribut adalah kombinasi dari nama Peran RAM dan nama IdP Anda. Jika nama Peran RAM dan nama IdP Anda tidak ada di Alibaba Cloud, atau IdP yang dikonfigurasi dalam kebijakan kepercayaan Peran RAM berbeda dari IdP dalam nilai atribut Name, pesan kesalahan dilaporkan. Untuk informasi lebih lanjut, lihat Respons SAML untuk SSO berbasis peran.

• Ubah nama Peran RAM di Alibaba Cloud atau nama IdP Anda untuk memastikan bahwa nama Peran RAM di Alibaba Cloud atau nama IdP Anda sama dengan nama Peran RAM atau nama IdP dalam respons SAML. Untuk informasi lebih lanjut, lihat Konfigurasikan pengaturan SAML Alibaba Cloud untuk SSO berbasis peran dan Konfigurasikan Alibaba Cloud sebagai SP tepercaya untuk SSO berbasis peran.

• Ubah kebijakan kepercayaan Peran RAM untuk memastikan bahwa nama IdP yang ditentukan dalam kebijakan kepercayaan Peran RAM sama dengan nama sebenarnya dari IdP. Untuk informasi lebih lanjut, lihat Contoh 3: Ubah entitas tepercaya Peran RAM menjadi IdP.

Penyebab

Solusi

Elemen Attribute yang atribut Name-nya diatur ke https://www.aliyun.com/SAML-Role/Attributes/Role tidak dikonfigurasi atau tidak valid di IdP Anda.

Ubah konfigurasi elemen Attribute di IdP Anda. Untuk informasi lebih lanjut, lihat Respons SAML untuk SSO berbasis peran.

Penyebab

Solusi

Elemen Attribute dengan atribut Name diatur ke https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName tidak valid di IdP Anda.

Periksa dan ubah konfigurasi elemen Attribute di IdP Anda. Periksa apakah elemen Atribut ada. Kemudian, periksa apakah elemen Attribute ditentukan dengan benar. Nilai elemen Atribut harus memiliki panjang 2 hingga 64 karakter, dan hanya dapat berisi huruf, angka, dan karakter khusus berikut: - _ . @ =. Untuk informasi lebih lanjut, lihat Respons SAML untuk SSO berbasis peran.

Anda tidak menentukan nilai untuk atribut yang sesuai dengan elemen RoleSessionName di IdP untuk pengguna logon saat ini. Misalnya, atribut Email ditentukan untuk elemen RoleSessionName di IdP, tetapi Anda tidak menentukan nilai untuk atribut Email untuk pengguna logon saat ini di IdP.

Pastikan atribut ditentukan untuk elemen RoleSessionName dan nilai ditentukan untuk atribut tersebut untuk pengguna logon saat ini di IdP.

Penyebab

Solusi

Pasangan kunci publik-pribadi yang digunakan untuk tanda tangan di IdP Anda diputar, namun metadata IdP Anda di Alibaba Cloud belum diperbarui.

Perbarui metadata IdP Anda di Alibaba Cloud. Unduh file metadata terbaru dari IdP Anda, lalu unggah file metadata ke Alibaba Cloud.

Pasangan kunci publik-pribadi yang digunakan untuk tanda tangan di IdP Anda diputar, dan metadata IdP Anda di Alibaba Cloud telah diperbarui. Selama rotasi, kunci pribadi asli mungkin masih digunakan di IdP Anda, sementara metadata IdP Anda di Alibaba Cloud hanya berisi kunci publik baru.

Kami sarankan Anda menyertakan baik kunci publik asli maupun kunci publik baru dalam metadata IdP Anda.

• Buat sertifikat baru tanpa menonaktifkan atau menghapus sertifikat asli.

• Unduh file metadata baru dan periksa apakah kunci publik asli dan kunci publik baru termasuk dalam file metadata.

  • Untuk beberapa IdP seperti Azure AD, sertifikat asli dan sertifikat baru termasuk dalam file metadata baru.

  • Jika file metadata baru tidak berisi kunci publik asli dan kunci publik baru, Anda harus menambahkan sertifikat asli dan sertifikat baru secara manual ke file metadata baru. Unduh file metadata asli dari pengaturan SSO di konsol RAM dan salin informasi tentang elemen X509Certificate, yaitu informasi tentang sertifikat asli. Tambahkan informasi yang disalin ke elemen KeyDescriptor dari file metadata baru dan simpan modifikasi.

  • Unggah file metadata baru ke pengaturan SSO di konsol RAM.

  • Aktifkan sertifikat baru dan nonaktifkan sertifikat asli dalam pengaturan SSO IdP Anda.

File metadata gagal diunggah karena ukuran file terlalu besar.

Tunggu hingga unggahan selesai. Setelah unggahan selesai, unduh file metadata yang diunggah untuk memastikan bahwa file berhasil diunggah.

Penyebab

Solusi

Parameter dalam metadata Anda tidak dikonfigurasi berdasarkan protokol SAML 2.0.

Konfigurasikan parameter berdasarkan protokol SAML 2.0. Untuk informasi lebih lanjut, kunjungi SAML 2.0.