Bagaimana cara mengimplementasikan SSO antara Azure AD dan Elastic Desktop Service? - Elastic Desktop Service

Topik ini menjelaskan cara mengonfigurasi single sign-on (SSO) antara Azure Active Directory (AD) dan Elastic Desktop Service (Enterprise Edition). Setelah SSO dikonfigurasi, kredensial logon pengguna Azure AD akan diautentikasi ketika pengguna akhir mengakses komputer cloud. Ini membantu mengelola logon yang aman dan terpadu.

Latar Belakang

Single sign-on (SSO) adalah teknologi komunikasi aman yang memungkinkan Anda mengakses beberapa sistem aplikasi tepercaya secara efisien dengan satu kali logon. SSO mengimplementasikan logon berdasarkan federasi identitas.

Istilah berikut sering digunakan dalam skenario SSO:

Penyedia Identitas (IdP): entitas yang berisi metadata dari penyedia identitas eksternal. IdP menyediakan layanan manajemen identitas, mengumpulkan dan menyimpan informasi identitas pengguna seperti nama pengguna dan kata sandi, serta memverifikasi identitas pengguna saat logon.
IdP Umum:
- IdP Lokal: menggunakan arsitektur lokal, seperti Microsoft Active Directory Federation Service (AD FS) dan Shibboleth.
- IdP Cloud: Azure AD, Google Workspace, Okta, dan OneLogin.

Penyedia Layanan (SP): aplikasi yang menggunakan fitur manajemen identitas IdP untuk memberikan layanan tertentu kepada pengguna berdasarkan hubungan kepercayaan dengan IdP. Dalam sistem identitas tertentu yang tidak sesuai dengan protokol Security Assertion Markup Language (SAML), seperti OpenID Connect (OIDC), SP adalah pihak yang bergantung pada IdP.
SAML 2.0: protokol standar untuk otentikasi identitas pengguna perusahaan. Ini adalah salah satu implementasi teknis untuk komunikasi antara SP dan IdP. SAML adalah standar de facto yang digunakan oleh perusahaan untuk mengimplementasikan SSO.

Prosedur

Jika Anda menggunakan Azure AD untuk mengelola pengguna, Anda dapat mengonfigurasi pengguna convenience yang nama penggunanya sama dengan yang ada di Azure AD untuk mengimplementasikan SSO untuk Elastic Desktop Service (Enterprise Edition). Kemudian, Elastic Desktop Service (Enterprise Edition) bertindak sebagai penyedia layanan (SP), dan Azure AD bertindak sebagai penyedia identitas (IdP). Keduanya bertukar file metadata mereka berdasarkan protokol Security Assertion Markup Language (SAML) untuk mengimplementasikan SSO. Setelah Anda mengonfigurasi SSO, pengguna akhir dapat mengakses komputer cloud menggunakan kredensial logon yang sama di Azure AD.

Langkah 1: Buat pengguna convenience yang nama penggunanya sama dengan pengguna Azure AD

Untuk pengguna Azure AD yang ingin menggunakan Elastic Desktop Service (Enterprise Edition), Anda harus membuat pengguna convenience yang nama penggunanya sama dengan pengguna Azure AD di konsol Elastic Desktop Service (Enterprise Edition).

Di panel Create User dari konsol Elastic Desktop Service (Enterprise Edition), Anda dapat memilih tab Manual Entry atau Batch Entry untuk membuat pengguna convenience dengan memasukkan atau mengimpor informasi tentang beberapa pengguna sekaligus. Jika Anda membuat sejumlah kecil pengguna, Anda dapat memasukkan informasi tentang pengguna secara manual di tab Manual Entry. Jika Anda membuat sejumlah besar pengguna, Anda dapat mengimpor informasi tentang pengguna dengan menggunakan file yang memenuhi format tertentu di tab Batch Entry.

Penting

Ketika Anda memasukkan informasi di file, pastikan bahwa nama pengguna convenience yang Anda buat sama dengan nama pengguna Azure AD. Nama pengguna tidak peka huruf besar/kecil.

Sebelum Anda mengimpor informasi pengguna, lihat bagian berikut untuk menyiapkan file .csv yang digunakan untuk membuat pengguna convenience Elastic Desktop Service dalam format yang valid.

Unduh file .csv yang berisi informasi tentang pengguna Azure AD di Azure AD.
1. Masuk ke konsol Azure AD.
2. Di bilah navigasi sisi kiri, klik Users.
3. Di halaman All users (Preview), periksa apakah kredensial pengguna valid.
  Nama pengguna pengguna Azure AD harus mengikuti persyaratan format untuk membuat pengguna convenience. Jika format nama pengguna pengguna Azure AD tidak valid, Anda tidak dapat membuat pengguna convenience yang sesuai dengan pengguna Azure AD.
  Ketika Anda membuat pengguna convenience, persyaratan format berikut harus dipenuhi:
  - Nama pengguna harus memiliki panjang 3 hingga 24 karakter.
  - Nama pengguna dapat berisi huruf kecil, angka, dan karakter khusus, termasuk tanda hubung (-), garis bawah (_), dan titik (.).
  - Nama pengguna harus dimulai dengan huruf kecil.
4. Di bilah navigasi atas, klik Bulk operations dan pilih Download users.
5. Ikuti petunjuk di layar untuk mengunduh informasi tentang pengguna Azure AD. Informasi yang diunduh termasuk dalam file .csv.
Gunakan Excel untuk membuka file .csv dan masukkan atau modifikasi informasi tentang pengguna yang ingin Anda impor. Pastikan bahwa informasi dalam file memenuhi persyaratan format untuk membuat pengguna convenience. Lalu, simpan file dalam format .csv.
Catatan
Ketika Anda memodifikasi informasi pengguna, perhatikan persyaratan format berikut:
- Format:
  - Pengguna convenience yang diaktifkan pengguna: Kolom pertama adalah Nama Pengguna, kolom kedua adalah Alamat Email, dan kolom ketiga adalah Telepon. Kolom ketiga opsional.
  - Pengguna convenience yang diaktifkan administrator: Kolom pertama adalah Nama Pengguna, kolom kedua adalah Email, kolom ketiga adalah Telepon, dan kolom keempat adalah Kata Sandi. Kolom kedua dan ketiga opsional.
- Di file .csv yang Anda unduh dari konsol Azure AD, kolom userPrincipalName berada dalam format NamaPengguna@NamaDomain. Anda dapat menggunakan NamaPengguna sebelum @ sebagai nama pengguna convenience yang ingin Anda buat. Jika nilai yang ditentukan di kolom userPrincipalName adalah alamat email aktual pengguna, Anda dapat menggunakan kolom userPrincipalName sebagai kolom Email. Jika alamat email aktual berbeda dari alamat email yang ditentukan di kolom userPrincipalName, tentukan alamat email aktual.

Setelah Anda menyiapkan file .csv, klik tab Batch Entry di konsol Elastic Desktop Service (Enterprise Edition) untuk membuat pengguna convenience secara massal. Untuk informasi lebih lanjut, lihatBuat akun convenience.

Penting

Setelah Anda membuat pengguna convenience yang sesuai dengan pengguna Azure AD, tetapkan komputer cloud kepada pengguna convenience tersebut secepat mungkin. Untuk informasi lebih lanjut, lihat Kelola akun convenience.

Langkah 2: Buat aplikasi dan tetapkan aplikasi kepada pengguna Azure AD

Di sisi Azure AD, Anda harus membuat aplikasi yang sesuai dengan Elastic Desktop Service (Enterprise Edition) dan mengotorisasi aplikasi kepada pengguna Azure AD yang ingin menggunakan Elastic Desktop Service (Enterprise Edition). Untuk membuat dan menetapkan aplikasi, lakukan langkah-langkah berikut:

Di bilah navigasi sisi kiri konsol Azure AD, klik Enterprise applications.
Di halaman All applications, klik New application.
Di bilah navigasi atas, klik Create your own application.
Di kotak dialog yang muncul, masukkan nama untuk aplikasi yang ingin Anda buat, pilih Integrate any other application you don't find in the gallery (Non-gallery), lalu klik Create.
Muat ulang halaman dan klik nama aplikasi yang Anda buat.
Di bilah navigasi sisi kiri, klik Users and Groups dan klik Add user/group.
Di halaman Add Assignment, pilih pengguna dan klik Assign.

Langkah 3: Konfigurasikan Elastic Desktop Service (Enterprise Edition) sebagai SAML SP tepercaya di Azure AD

Untuk mengonfigurasi Elastic Desktop Service (Enterprise Edition) sebagai SAML SP tepercaya, Anda harus mengunggah file metadata-nya ke Azure AD. Untuk mengunggah file metadata, lakukan langkah-langkah berikut:

Dapatkan file metadata di konsol Elastic Desktop Service (Enterprise Edition).
1. Masuk ke konsol EDS Enterprise.
2. Di bilah navigasi sisi kiri, pilih Networks & Storage > Office Networks.
3. On the Office Network (Formerly Workspace) page, temukan jaringan kantor yang ingin Anda aktifkan SSO dan klik ID jaringan kantor.
4. Di bilah navigasi sisi kiri halaman detail jaringan kantor, klik tab Other.
5. Di tab Other, klik Download Application Metadata File di sebelah kanan Application Metadata.
  File metadata yang diunduh disimpan secara otomatis ke folder Unduhan di komputer lokal Anda.
Konfigurasikan SSO untuk aplikasi yang sesuai dengan Elastic Desktop Service (Enterprise Edition) di Azure AD.
1. Di konsol Azure AD, jalankan aplikasi yang Anda buat di Langkah 2.
2. Di bilah navigasi sisi kiri, klik Single sign-on dan pilih SAML.
3. Klik Upload metadata file.
4. Pilih file metadata Elastic Desktop Service (Enterprise Edition) dan klik Tambah.
5. Di panel Basic SAML Configuration, periksa apakah nilai bidang Identifier dan Reply URL valid dan klik Save.
  Catatan
  Buka file metadata yang tersimpan di komputer lokal Anda dan periksa apakah nilai parameter Identifier dan Reply URL valid.
  - Identifier (Entity ID): nilai entityID di tag md:EntityDescriptor dalam file metadata.
  - Reply URL (Assertion Consumer Service URL): nilai Location di tag md:AssertionConsumerService dalam file metadata.
  Penting
  Setelah Anda mengunggah file metadata, bidang Identifier dan Reply URL diisi secara otomatis. Jika parameter Identifier dan Reply URL tidak diisi secara otomatis, tentukan nilainya.

Langkah 4: Konfigurasikan Azure AD sebagai SAML IdP tepercaya di Elastic Desktop Service (Enterprise Edition)

Anda dapat mengunggah file metadata Azure AD ke Elastic Desktop Service (Enterprise Edition) untuk mengonfigurasi Azure AD sebagai SAML IdP tepercaya. Untuk mengunggah file metadata, lakukan langkah-langkah berikut:

Dapatkan file metadata IdP Azure AD.
1. Di konsol Azure AD, jalankan aplikasi yang Anda buat di Langkah 2.
2. Di bilah navigasi sisi kiri, klik Single sign-on.
3. Di bagian SAML Signing Certificate, klik Download di sebelah kanan Federation Metadata XML.
  File metadata yang diunduh disimpan secara otomatis ke folder Unduhan di komputer lokal Anda.
Di konsol Elastic Desktop Service, unggah file metadata Azure AD.
1. Masuk ke konsol EDS Enterprise.
2. Di bilah navigasi sisi kiri, pilih Networks & Storage > Office Networks.
3. Di halaman Office Network (Formerly Workspace), temukan jaringan kantor yang ingin Anda aktifkan SSO dan klik ID jaringan kantor.
4. Di bilah navigasi sisi kiri halaman detail jaringan kantor, klik tab Other.
5. Di tab Other, aktifkan fitur SSO dan unggah file metadata IdP.
  - SSO: Aktifkan atau nonaktifkan fitur SSO untuk jaringan kantor.
    Secara default, fitur SSO dinonaktifkan. Ketika fitur SSO dinonaktifkan, konfigurasi SSO tidak berlaku.
  - IdP Metadata: Klik Upload File untuk mengunggah file metadata IdP.
    Jika status parameter IdP Metadata adalah Selesai, Azure AD dikonfigurasi sebagai SAML IdP tepercaya.

Apa yang Harus Dilakukan Selanjutnya

Setelah pengaturan SSO selesai, pengguna akhir menggunakan kredensial logon pengguna Azure AD untuk mengakses komputer cloud. Bagian berikut menjelaskan cara mengimplementasikan SSO untuk pengguna Azure AD untuk terhubung ke komputer cloud. Di bagian berikut, klien Windows Alibaba Cloud Workspace digunakan.

Jalankan klien Windows.
Di halaman logon Pro Edition (sebelumnya Edisi Enterprise), masukkan ID jaringan kantor yang Anda aktifkan SSO.
Di halaman logon Azure AD, masukkan informasi tentang pengguna Azure AD yang sesuai dengan pengguna convenience. Sistem Azure AD mengotentikasi kredensial pengguna.
Jika otentikasi berhasil, Anda dapat masuk ke klien. Komputer cloud yang ditetapkan kepada pengguna ditampilkan sebagai kartu. Anda dapat mengarahkan penunjuk Anda ke kartu komputer cloud yang ingin Anda sambungkan dan klik Connect Cloud Computer.

FAQ

Jika terjadi masalah di halaman logon Azure AD, atasi masalah sesuai petunjuk.
Sebagai contoh, jika terjadi kesalahan berikut, yang menunjukkan bahwa aplikasi yang sesuai dengan Elastic Desktop Service (Enterprise Edition) tidak ditetapkan kepada pengguna, lihat Langkah 2.
Jika Anda mendapat peringatan tentang kegagalan otentikasi di klien, hubungi administrator untuk memeriksa apakah konfigurasi SSO valid.
Jika Anda mendapat peringatan tentang kesalahan internal di klien, hubungi administrator untuk memastikan apakah pengguna convenience yang sesuai dengan pengguna Azure AD dikonfigurasi dengan benar.