Oktatóanyag: A Microsoft Entra egyszeri bejelentkezés (SSO) integrációja az Alibaba Cloud Service-vel (szerepköralapú egyszeri bejelentkezés)

  • Cikk

Ebben az oktatóanyagban megtudhatja, hogyan integrálható az Alibaba Cloud Service (szerepköralapú SSO) a Microsoft Entra ID-val. Ha integrálja az Alibaba Cloud Service-t (szerepköralapú egyszeri bejelentkezés) a Microsoft Entra ID-val, a következőket teheti:

  • Az Alibaba Cloud Service -hez (szerepköralapú egyszeri bejelentkezés) hozzáférő Microsoft Entra-azonosítóban.
  • Lehetővé teszi, hogy a felhasználók automatikusan bejelentkezhessenek az Alibaba Cloud Service-be (szerepköralapú egyszeri bejelentkezés) a Microsoft Entra-fiókjukkal.
  • A fiókokat egy központi helyen kezelheti.

Előfeltételek

Első lépésként a következő elemekre van szüksége:

  • Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
  • Az Alibaba Cloud Service (szerepköralapú SSO) egyszeri bejelentkezésre (SSO) engedélyezett előfizetés.

Forgatókönyv leírása

Ebben az oktatóanyagban a Microsoft Entra SSO-t konfigurálja és teszteli tesztkörnyezetben.

  • Az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) támogatja az identitásszolgáltató által kezdeményezett egyszeri bejelentkezést

Az Alibaba Cloud Service (szerepköralapú SSO) Microsoft Entra-azonosítóba való integrálásának konfigurálásához hozzá kell adnia az Alibaba Cloud Service-t (szerepköralapú SSO-t) a katalógusból a felügyelt SaaS-alkalmazások listájához.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.

  3. A Gyűjtemény hozzáadása szakaszban írja be az Alibaba Cloud Service (szerepköralapú SSO) kifejezést a keresőmezőbe.

  4. Válassza az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) lehetőséget a találati panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

  5. Az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) lapon kattintson a Bal oldali navigációs panel Tulajdonságok gombjára, másolja ki az objektumazonosítót, és mentse a számítógépre későbbi használatra.

    Properties config

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

A Microsoft Entra SSO konfigurálása és tesztelése az Alibaba Cloud Service-hez (szerepköralapú egyszeri bejelentkezés)

A Microsoft Entra SSO konfigurálása és tesztelése az Alibaba Cloud Service-vel (szerepköralapú SSO) egy B.Simon nevű tesztfelhasználóval. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között az Alibaba Cloud Service-ben (szerepköralapú egyszeri bejelentkezés).

A Microsoft Entra SSO konfigurálásához és teszteléséhez az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) használatával hajtsa végre a következő lépéseket:

  1. Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.
    1. Microsoft Entra tesztfelhasználó létrehozása – a Microsoft Entra egyszeri bejelentkezésének teszteléséhez Britta Simonnal.
    2. Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy britta Simon használhassa a Microsoft Entra egyszeri bejelentkezést.
  2. Konfigurálja a szerepköralapú egyszeri bejelentkezést az Alibaba Cloud Service-ben , hogy a felhasználók használhassák ezt a funkciót.
    1. Konfigurálja az Alibaba Cloud Service (szerepköralapú SSO) egyszeri bejelentkezést – az egyszeri bejelentkezés beállításainak alkalmazásoldali konfigurálásához.
    2. Hozzon létre Egy Alibaba Cloud Service (szerepköralapú SSO) tesztfelhasználót , hogy a Felhasználó Microsoft Entra-reprezentációjához kapcsolódó Alibaba Cloud Service -ben (szerepköralapú SSO) britta Simon megfelelője legyen.
  3. SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.

A Microsoft Entra SSO konfigurálása

A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>, az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés)> egyszeri bejelentkezést.

  3. A Select a single sign-on method page, select SAML.

  4. Az saml-alapú egyszeri bejelentkezés beállítása lapon kattintson az egyszerű SAML-konfiguráció szerkesztési/toll ikonjára a beállítások szerkesztéséhez.

    Edit Basic SAML Configuration

  5. Ha rendelkezik szolgáltatói metaadatfájllal, az EGYSZERŰ SAML-konfiguráció szakaszban hajtsa végre a következő lépéseket:

    a. Kattintson a Metaadatfájl feltöltése elemre.

    b. A mappa emblémájára kattintva jelölje ki a metaadatfájlt, majd kattintson a Feltöltés gombra.

    Megjegyzés:

    1. Az Alibaba Cloud International Webhely esetében töltse le a szolgáltató metaadatait erről a hivatkozásról.
    2. Az Alibaba Cloud Service(CN) webhelyéhez töltse le a szolgáltató metaadatait erről a hivatkozásról.

    c. A metaadatfájl sikeres feltöltése után az Azonosító és a Válasz URL-cím értéke automatikusan ki lesz töltve az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) szakasz szövegmezőjében:

    Megjegyzés:

    Ha az Azonosító és a Válasz URL-cím értéke nem lesz automatikusan kitöltve, töltse ki manuálisan az értékeket a követelménynek megfelelően.

  6. Az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) megköveteli a szerepkörök konfigurálását a Microsoft Entra-azonosítóban. A szerepkör-jogcím előre konfigurálva van, így nem kell konfigurálnia, de a jelen cikk használatával még létre kell hoznia őket a Microsoft Entra-azonosítóban.

  7. Az SAML-alapú egyszeri bejelentkezés beállítása lapon, az SAML aláíró tanúsítvány szakaszában keresse meg az összevonási metaadatok XML-fájlját, és válassza a Letöltés lehetőséget a tanúsítvány letöltéséhez és a számítógépre való mentéséhez.

    The Certificate download link

  8. Az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) beállítása szakaszban másolja ki a megfelelő URL-cím(ek)et a követelmény alapján.

    Copy configuration URLs

Microsoft Entra-tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói Rendszergazda istratorként.
  2. Tallózással keresse meg az Identitásfelhasználók>>minden felhasználót.
  3. Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
  4. A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
    1. A Megjelenítendő név mezőbe írja be a következőtB.Simon:
    2. A Felhasználónév mezőbe írja be a következőtusername@companydomain.extension: . For example, B.Simon@contoso.com.
    3. Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
    4. Select Review + create.
  5. Select Create.

A Microsoft Entra tesztfelhasználó hozzárendelése

Ebben a szakaszban engedélyezi B.Simon számára az egyszeri bejelentkezés használatát az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) hozzáférésének biztosításával.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat, az>Alibaba Cloud Service-t (szerepköralapú SSO).

  3. Az alkalmazás áttekintő lapján keresse meg a Kezelés szakaszt, és válassza a Felhasználók és csoportok lehetőséget.

  4. Válassza a Felhasználó hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.

  5. A Felhasználók és csoportok lapon válassza az u2 elemet a felhasználói listából, és kattintson a Kiválasztás gombra. Ezután kattintson a Hozzárendelés gombra.

    Assign the Microsoft Entra test user1

  6. Tekintse meg a hozzárendelt szerepkört, és tesztelje az Alibaba Cloud Service-t (szerepköralapú egyszeri bejelentkezés).

    Assign the Microsoft Entra test user2

    Megjegyzés:

    A felhasználó (u2) hozzárendelése után a rendszer automatikusan csatolja a létrehozott szerepkört a felhasználóhoz. Ha több szerepkört hozott létre, szükség szerint csatolnia kell a megfelelő szerepkört a felhasználóhoz. Ha szerepköralapú egyszeri bejelentkezést szeretne implementálni a Microsoft Entra-azonosítóból több Alibaba Cloud-fiókba, ismételje meg az előző lépéseket.

Szerepköralapú egyszeri bejelentkezés konfigurálása az Alibaba Cloud Service-ben

  1. Jelentkezzen be az Alibaba Cloud RAM-konzolra az Account1 használatával.

  2. A bal oldali navigációs panelen válassza az Egyszeri bejelentkezés lehetőséget.

  3. A szerepköralapú egyszeri bejelentkezés lapon kattintson az IdP létrehozása gombra.

  4. A megjelenített lapon adja meg AAD az Azonosító neve mezőt, írja be a megjegyzés mezőbe a leírást, kattintson a Feltöltés gombra a korábban letöltött összevonási metaadatfájl feltöltéséhez, majd kattintson az OK gombra.

  5. Az idP sikeres létrehozása után kattintson a RAM-szerepkör létrehozása elemre.

  6. A RAM-szerepkör neve mezőbe írja be az enter billentyűtAADrole, válassza ki AAD az IdP kiválasztása legördülő listából, és kattintson az OK gombra.

    Megjegyzés:

    Igény szerint engedélyt adhat a szerepkörnek. Az identitásszolgáltató és a megfelelő szerepkör létrehozása után javasoljuk, hogy mentse az identitásszolgáltató ARN-eit és a szerepkört későbbi használatra. Az ARN-eket az IdP információs oldalán és a szerepkör-információk lapon szerezheti be.

  7. Az Alibaba Cloud RAM-szerepkör (AADrole) társítása a Microsoft Entra-felhasználóval (u2):

    Ha a RAM-szerepkört a Microsoft Entra-felhasználóhoz szeretné társítani, az alábbi lépések végrehajtásával létre kell hoznia egy szerepkört a Microsoft Entra-azonosítóban:

    1. Jelentkezzen be a Microsoft Graph Explorerbe.

    2. Kattintson a módosítási engedélyekre a szerepkör létrehozásához szükséges engedélyek beszerzéséhez.

      Graph config1

    3. Válassza ki az alábbi engedélyeket a listából, és kattintson az Engedélyek módosítása elemre az alábbi ábrán látható módon.

      Graph config2

      Megjegyzés:

      Az engedélyek megadása után jelentkezzen be újra a Graph Explorerbe.

    4. A Graph Explorer lapon válassza a GET lehetőséget az első legördülő listából, a második legördülő listából pedig a bétaverziót . Ezután írja be https://graph.microsoft.com/beta/servicePrincipals a legördülő listák melletti mezőt, és kattintson a Lekérdezés futtatása parancsra.

      Graph config3

      Megjegyzés:

      Ha több könyvtárat használ, beírhatja https://graph.microsoft.com/beta/contoso.com/servicePrincipals a lekérdezés mezőjébe.

    5. A Válasz előnézete szakaszban bontsa ki az appRoles tulajdonságot a szolgáltatásnévből a későbbi használathoz.

      Graph config4

      Megjegyzés:

      Az appRoles tulajdonságot a lekérdezés mezőjébe való beírással https://graph.microsoft.com/beta/servicePrincipals/<objectID> találja meg. Vegye figyelembe, hogy ez az objectID objektumazonosító, amelyet a Microsoft Entra AZONOSÍTÓ tulajdonságai lapról másolt.

    6. Térjen vissza a Graph Explorerhez, módosítsa a metódust GET-ről PATCH-re, illessze be a következő tartalmat a Kérelem törzse szakaszba, és kattintson a Lekérdezés futtatása gombra:

        {
    "appRoles": [
      {
        "allowedMemberTypes": [
          "User"
        ],
        "description": "msiam_access",
        "displayName": "msiam_access",
        "id": "41be2db8-48d9-4277-8e86-f6d22d35****",
        "isEnabled": true,
        "origin": "Application",
        "value": null
      },
      {
        "allowedMemberTypes": [
          "User"
        ],
        "description": "Admin,AzureADProd",
        "displayName": "Admin,AzureADProd",
        "id": "68adae10-8b6b-47e6-9142-6476078cdbce",
        "isEnabled": true,
        "origin": "ServicePrincipal",
        "value": "acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD"
      }
    ]
  }

      Megjegyzés:

      A value virtuális gép ARN-jei és a RAM-konzolon létrehozott szerepkör. Itt szükség szerint több szerepkört is hozzáadhat. A Microsoft Entra ID elküldi ezeknek a szerepköröknek az értékét jogcímértékként az SAML-válaszban. Azonban csak a javításművelethez tartozó rész után msiam_access adhat hozzá új szerepköröket. A létrehozási folyamat simítása érdekében javasoljuk, hogy használjon azonosítógenerátort( például GUID Generatort) azonosítók valós idejű létrehozásához.

    7. Miután a "Szolgáltatásnév" ki van javítva a szükséges szerepkörrel, csatolja a szerepkört a Microsoft Entra-felhasználóhoz (u2) az oktatóanyag Microsoft Entra tesztfelhasználói szakaszának hozzárendelése lépéseivel.

Az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) egyszeri bejelentkezésének konfigurálása

Az egyszeri bejelentkezés az Alibaba Cloud Service (szerepköralapú SSO) oldalán való konfigurálásához el kell küldenie a letöltött összevonási metaadatok XML-jét és a megfelelő másolt URL-címeket az alkalmazáskonfigurációból az Alibaba Cloud Service (szerepköralapú SSO) támogatási csapatának. Ezt a beállítást úgy állítják be, hogy az SAML SSO-kapcsolat megfelelően legyen beállítva mindkét oldalon.

Alibaba Cloud Service (szerepköralapú SSO) tesztfelhasználó létrehozása

Ebben a szakaszban egy Britta Simon nevű felhasználót hoz létre az Alibaba Cloud Service-ben (szerepköralapú egyszeri bejelentkezés). Az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) támogatási csapatával együttműködve vegye fel a felhasználókat az Alibaba Cloud Service (szerepköralapú SSO) platformra. A felhasználókat az egyszeri bejelentkezés használata előtt létre kell hozni és aktiválni kell.

Egyszeri bejelentkezés tesztelése

Az előző konfigurációk befejezése után tesztelje az Alibaba Cloud Service-t (szerepköralapú egyszeri bejelentkezést) az alábbi lépések végrehajtásával:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat, az>Alibaba Cloud Service-t (szerepköralapú SSO).

  3. Válassza az Egyszeri bejelentkezés lehetőséget, majd kattintson a Tesztelés gombra.

    Test config1

  4. Kattintson a Bejelentkezés az aktuális felhasználóként elemre.

    Test config2

  5. A fiókkijelölési lapon válassza az u2 lehetőséget.

    Test config3

  6. A következő oldal jelenik meg, amely azt jelzi, hogy a szerepköralapú egyszeri bejelentkezés sikeres.

    Test config4

További lépések

Az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.