All Products
Search

This Product

    Resource Access Management:Provision pengguna Okta ke RAM dengan SCIM

    Document Center

    Resource Access Management:Provision pengguna Okta ke RAM dengan SCIM

    Last Updated:Mar 26, 2026

    Dengan menggunakan protokol System for Cross-domain Identity Management (SCIM) 2.0 dan otorisasi aman dari aplikasi OAuth Alibaba Cloud, Anda dapat melakukan provisioning pengguna dari Okta ke Alibaba Cloud Resource Access Management (RAM).

    Prasyarat

    • Lakukan semua operasi di Konsol RAM sebagai administrator RAM atau pengguna RAM dengan izin manajemen OAuth.

    • Gunakan akun administrator Okta (Super Administrator) untuk semua operasi di Okta.

    Latar Belakang

    • Pembuatan pengguna: Saat Anda menetapkan pengguna ke aplikasi di Okta, pengguna RAM dengan username yang sama akan dibuat secara otomatis. Akhiran nama domain dari username Okta secara otomatis diganti dengan nama domain pengguna RAM.

    • Pembaruan atribut pengguna: Saat Anda mengubah atribut pengguna di Okta, atribut pengguna RAM yang sesuai akan diperbarui secara otomatis. Fitur ini bergantung pada apakah pembaruan atribut otomatis diaktifkan di Okta. Saat ini, hanya UserName dan DisplayName yang didukung.

    • Penonaktifan pengguna: Saat Anda menghapus pengguna atau membatalkan penetapan pengguna dari aplikasi di Okta, Okta mengatur status pengguna menjadi "active=false". Perubahan status ini tidak disinkronkan ke Alibaba Cloud karena pengguna RAM tidak memiliki status aktif atau tidak aktif. Pengguna RAM tetap tidak berubah.

    • Sinkronisasi kelompok pengguna Okta tidak didukung.

    Langkah 1: Buat dan otorisasi aplikasi OAuth

    1. Buat aplikasi OAuth.

      1. Login ke Konsol RAM.

      2. Di panel navigasi kiri, pilih Integrations > OAuth Preview.

      3. Pada tab Enterprise Application, klik Create Application.

      4. Pada halaman Create Application, konfigurasikan parameter aplikasi.

        1. Masukkan Application Name dan Display Name.

        2. Atur Application Type menjadi Native Application.

        3. Atur periode Access Token Validity.

        4. Atur periode Refresh Token Validity.

      5. Klik Create Application.

    2. Berikan cakupan (scopes) ke aplikasi.

      1. Pada tab Enterprise Application, klik nama aplikasi target Anda.

      2. Pada tab OAuth Scope, klik Add OAuth Scope.

      3. Di panel Add OAuth Scope, pilih /acs/scim.

      4. Klik OK.

    3. Buat rahasia aplikasi (application secret).

      1. Klik tab Application Secret, lalu klik Create Secret.

      2. Di kotak dialog Create Secret, lihat dan salin rahasia aplikasi, lalu klik Close.

        Penting

        Nilai rahasia aplikasi (AppSecretValue) hanya ditampilkan saat Anda membuatnya dan tidak dapat diambil kembali nanti. Pastikan Anda menyimpan rahasia tersebut di lokasi yang aman.

    Langkah 2: Buat aplikasi di Okta

    1. Login ke portal Okta.

    2. Di panel navigasi kiri, pilih Applications > Applications.

    3. Pada halaman Applications, klik Create App Integration.

    4. Di kotak dialog Create a new app integration, pilih SAML 2.0 dan klik Next.

    5. Pada langkah General Settings, masukkan nama aplikasi di bidang App name, misalnya AliyunSSODemo, lalu klik Next.

    6. Pada langkah Configure SAML, konfigurasikan parameter berikut di bagian SAML Settings dan klik Next.

      • Single sign on URL: Masukkan nilai Location yang telah Anda catat di Langkah 1.

      • Audience URI (SP Entity ID): Masukkan nilai entityID yang telah Anda catat di Langkah 1.

      • Default RelayState: Tentukan halaman konsol Alibaba Cloud tempat pengguna dialihkan setelah login SSO berhasil. Jika Anda biarkan kosong, pengguna akan dialihkan ke beranda Alibaba Cloud Management Console.

        Catatan

        Untuk alasan keamanan, URL untuk Default RelayState harus berasal dari nama domain milik Alibaba, seperti *.aliyun.com, *.hichina.com, *.yunos.com, *.taobao.com, *.tmall.com, *.alibabacloud.com, atau *.alipay.com. Jika Anda menentukan URL dari domain yang tidak sah, Default RelayState akan diabaikan.

      • Name ID format: Pilih Persistent.

      • Application username: Pilih Email.

    7. Pada halaman Feedback, pilih jenis aplikasi sesuai kebutuhan Anda dan klik Finish.

    Langkah 3: Konfigurasikan provisioning SCIM di Okta

    1. Aktifkan provisioning SCIM.

      1. Pada aplikasi yang Anda buat di Langkah 2: Buat aplikasi di Okta, klik tab General.

      2. Di bagian App Settings, klik Edit.

      3. Pilih Enable SCIM provisioning, lalu klik Save.

    2. Konfigurasikan parameter koneksi SCIM.

      1. Klik tab Provisioning.

      2. Di panel navigasi kiri, klik Integration.

      3. Di bagian SCIM Connection, klik Edit dan konfigurasikan parameter berikut.

        • SCIM connector base URL: Masukkan https://scim.aliyun.com.

        • Unique identifier field for users: Masukkan userName.

        • Supported provisioning actions: Pilih Import New Users and Profile Updates dan Push New Users.

          Catatan

          Push Profile Updates adalah pengaturan opsional yang mengaktifkan pembaruan otomatis atribut pengguna.

        • Authentication Mode: Pilih OAuth 2.

      4. Konfigurasikan parameter OAuth 2.0.

      5. Klik Save.

    3. Dapatkan URL callback.

      1. Pada tab Provisioning, klik Integration di panel navigasi kiri.

      2. Di bagian bawah halaman, klik Authenticate with xxx.

      3. Pada halaman yang muncul, salin URL callback.

      4. Login ke Konsol RAM Alibaba Cloud dan tambahkan URL callback ke aplikasi yang Anda buat di Langkah 1: Buat dan otorisasi aplikasi OAuth.

      5. Kembali ke halaman konfigurasi Okta dan klik Authenticate with xxx. Login ke konsol Alibaba Cloud saat diminta untuk menyelesaikan verifikasi.

    4. Konfigurasikan pengaturan provisioning pengguna.

      1. Pada tab Provisioning, klik To App di panel navigasi kiri.

      2. Di bagian Provisioning to App, klik Edit.

      3. Di bagian Create User, pilih Enable, lalu klik Save.

        Catatan

        Jika Push Profile Updates dikonfigurasikan di SCIM Connection, Anda juga perlu mengatur Push Profile Updates menjadi Enable di sini.

      4. Di bagian <App Name> Attribute Mappings, konfigurasikan pemetaan atribut. Hapus atribut yang tidak diperlukan, dan pertahankan hanya yang ditunjukkan pada gambar berikut.

        83f45d68d4356cebde3339768163c69e.png

      5. Pada tab Sign on, klik Edit.

      6. Atur Application username format menjadi Okta username prefix, lalu klik Save.

    5. Tetapkan pengguna ke aplikasi.

      1. Pada tab Assignments, klik Assign.

      2. Klik Assign to People untuk menetapkan pengguna.

    Catatan

    Jika terjadi error selama sinkronisasi, Anda dapat mengklik View Logs untuk melihat detail log dan menyelesaikan masalah tersebut.

    Verifikasi hasil

    Setelah Anda menyelesaikan langkah-langkah di atas, pengguna Okta akan disinkronkan secara otomatis ke RAM. Anda dapat login ke Konsol RAM dan melihat pengguna yang telah disinkronkan dalam daftar pengguna RAM. Synchronization Type-nya adalah SCIM User Synchronization.