Megosztás a következőn keresztül:

Az Alibaba Cloud Service (szerepköralapú SSO) konfigurálása egyszeri bejelentkezéshez a Microsoft Entra-azonosítóval

Ebből a cikkből megtudhatja, hogyan integrálható az Alibaba Cloud Service (szerepköralapú SSO) a Microsoft Entra ID-val. Ha integrálja az Alibaba Cloud Service-t (szerepköralapú egyszeri bejelentkezés) a Microsoft Entra ID-val, a következőket teheti:

  • Ellenőrizze a Microsoft Entra-azonosítóban, hogy ki férhet hozzá az Alibaba Cloud Service-hez (szerepköralapú egyszeri bejelentkezés).
  • Lehetővé teszi, hogy a felhasználók automatikusan bejelentkezhessenek az Alibaba Cloud Service-be (szerepköralapú egyszeri bejelentkezés) a Microsoft Entra-fiókjukkal.
  • A fiókokat egy központi helyen kezelheti.

Előfeltételek

A cikkben ismertetett forgatókönyv feltételezi, hogy már rendelkezik a következő előfeltételekkel:

  • Alibaba Cloud Service szerepköralapú egyszeri bejelentkezéssel (SSO) engedélyezett előfizetés.

Forgatókönyv leírása

Ebben a cikkben a Microsoft Entra SSO-t konfigurálja és teszteli tesztkörnyezetben.

  • Az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) támogatja az identitásszolgáltató által kezdeményezett egyszeri bejelentkezést

Az Alibaba Cloud Service (szerepköralapú SSO) Microsoft Entra-azonosítóba való integrálásának konfigurálásához hozzá kell adnia az Alibaba Cloud Service-t (szerepköralapú SSO-t) a katalógusból a felügyelt SaaS-alkalmazások listájához.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Keresse meg az Entra ID>Enterprise-alkalmazásokat>Új alkalmazás.

  3. A Gyűjtemény hozzáadása szakaszban írja be az Alibaba Cloud Service (szerepköralapú SSO) kifejezést a keresőmezőbe.

  4. Válassza az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) lehetőséget a találati panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

  5. Az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) lapon válassza a Tulajdonságok lehetőséget a bal oldali navigációs panelen, másolja ki az objektumazonosítót , és mentse a számítógépre későbbi használatra.

    Tulajdonságok konfigurációja

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, és végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

A Microsoft Entra SSO konfigurálása és tesztelése az Alibaba Cloud Service-hez (szerepköralapú egyszeri bejelentkezés)

A Microsoft Entra SSO konfigurálása és tesztelése az Alibaba Cloud Service-vel (szerepköralapú SSO) egy B.Simon nevű tesztfelhasználóval. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között az Alibaba Cloud Service-ben (szerepköralapú egyszeri bejelentkezés).

A Microsoft Entra SSO konfigurálásához és teszteléséhez az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) használatával hajtsa végre a következő lépéseket:

  1. Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.
    1. Microsoft Entra tesztfelhasználó létrehozása – a Microsoft Entra egyszeri bejelentkezésének teszteléséhez Britta Simonnal.
    2. Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy britta Simon használhassa a Microsoft Entra egyszeri bejelentkezést.
  2. Konfigurálja az Alibaba Cloud Szolgáltatás Role-Based egyetlen Sign-On funkcióját, hogy a felhasználók használhassák ezt a funkciót.
    1. Konfigurálja az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) egyszeri bejelentkezést – az egyetlen Sign-On-beállítások alkalmazásoldali konfigurálásához.
    2. Hozzon létre Alibaba Cloud Service (szerepkör-alapú SSO) tesztfelhasználót , hogy a Microsoft Entra-felhasználóhoz kapcsolódó Alibaba Cloud Service-ben (szerepkör-alapú SSO) Britta Simon megfelelője legyen.
  3. SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.

A Microsoft Entra SSO konfigurálása

A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Keresse meg az Entra IDVállalati alkalmazásokAlibaba Cloud Service (szerepköralapú egyszeri bejelentkezés).

  3. A Válasszon egy egyszeri bejelentkezési módot oldalon válassza a SAML lehetőséget.

  4. Az saml-alapú egyszeri bejelentkezés beállítása lapon válassza az egyszerű SAML-konfiguráció szerkesztési/toll ikonját a beállítások szerkesztéséhez.

    Alapszintű SAML-konfiguráció szerkesztése

  5. Ha rendelkezik szolgáltatói metaadatfájllal, az EGYSZERŰ SAML-konfiguráció szakaszban hajtsa végre a következő lépéseket:

    egy. Válassza a Metaadatfájl feltöltése lehetőséget.

    b. A mappa emblémájának kiválasztásával jelölje ki a metaadatfájlt, majd válassza a Feltöltés lehetőséget.

    Jegyzet

    1. Az Alibaba Cloud International Webhely esetében töltse le a szolgáltató metaadatait erről a hivatkozásról.
    2. Az Alibaba Cloud Service(CN) webhelyéhez a szolgáltató metaadatait töltse le erről a hivatkozásról.

    c) A metaadatfájl sikeres feltöltése után az Azonosító és a Válasz URL-cím értéke automatikusan ki lesz töltve az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) szakasz szövegmezőjében:

    Jegyzet

    Ha az Azonosító és a Válasz URL-cím értéke nem lesz automatikusan kitöltve, töltse ki manuálisan az értékeket a követelménynek megfelelően.

  6. Az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) megköveteli a szerepkörök konfigurálását a Microsoft Entra-azonosítóban. A szerepkör-jogcím előre konfigurálva van, így nem kell konfigurálnia, de a jelen cikk használatával még létre kell hoznia őket a Microsoft Entra-azonosítóban.

  7. Az SAML-alapú egyszeri bejelentkezés beállítása lapon, az SAML aláíró tanúsítvány szakaszában keresse meg az összevonási metaadatok XML-fájlját , és válassza a Letöltés lehetőséget a tanúsítvány letöltéséhez és a számítógépre való mentéséhez.

    A tanúsítvány letöltési hivatkozása

  8. Az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) beállítása szakaszban másolja ki a megfelelő URL-cím(ek)et a követelmény alapján.

    Konfigurációs URL-címek másolása

Microsoft Entra tesztfelhasználó létrehozása és hozzárendelése

A B.Simon nevű tesztfelhasználói fiók létrehozásához kövesse a felhasználói fiókok létrehozásának és hozzárendelésének rövid útmutatójában szereplő irányelveket.

Role-Based egyedi Sign-On konfigurálása az Alibaba Cloud szolgáltatásban

  1. Jelentkezzen be az Alibaba Cloud RAM-konzolra az Account1 használatával.

  2. A bal oldali navigációs panelen válassza az Egyszeri bejelentkezés lehetőséget.

  3. A Szerepköralapú egyszeri bejelentkezés lapon válassza az IdP létrehozása lehetőséget.

  4. A megjelenített lapon adja meg a AAD az IdP Név mezőbe, írja be a megjegyzés mezőbe a leírást, válassza a Feltöltés lehetőséget a korábban letöltött föderációs metaadatfájl feltöltéséhez, majd nyomja meg az OK gombot.

  5. Az identitásszolgáltató sikeres létrehozását követően válassza a RAM-szerepkör létrehozása lehetőséget.

  6. A RAM-szerepkör neve mezőbe írja be AADrole, válassza ki AAD az IdP kiválasztása legördülő listából, és válassza az OK lehetőséget.

    Jegyzet

    Igény szerint engedélyt adhat a szerepkörnek. Az identitásszolgáltató és a megfelelő szerepkör létrehozása után javasoljuk, hogy mentse az identitásszolgáltató ARN-eit és a szerepkört későbbi használatra. Az ARN-eket az IdP információs oldalán és a szerepkör-információk lapon szerezheti be.

  7. Társítsa az Alibaba Cloud RAM-szerepkört (AADrole) a Microsoft Entra-felhasználóval (u2):

    Ha a RAM-szerepkört a Microsoft Entra-felhasználóhoz szeretné társítani, az alábbi lépések végrehajtásával létre kell hoznia egy szerepkört a Microsoft Entra-azonosítóban:

    1. Jelentkezzen be a Microsoft Graph Explorerbe.

    2. A szerepkör létrehozásához szükséges engedélyek beszerzéséhez válassza a módosítási engedélyeket .

      Gráfkonfiguráció1

    3. Válassza ki az alábbi engedélyeket a listából, és válassza az Engedélyek módosítása lehetőséget az alábbi ábrán látható módon.

      Graph config2

      Jegyzet

      Az engedélyek megadása után jelentkezzen be újra a Graph Explorerbe.

    4. A Graph Explorer lapon válassza a GET lehetőséget az első legördülő listából, a második legördülő listából pedig a bétaverziót . Ezután írja be https://graph.microsoft.com/beta/servicePrincipals a legördülő listák melletti mezőbe, és válassza a Lekérdezés futtatása lehetőséget.

      Graph config3

      Jegyzet

      Ha több könyvtárat használ, a lekérdezés mezőjébe beírhatja a https://graph.microsoft.com/beta/contoso.com/servicePrincipals.

    5. A Válasz előnézete szakaszban bontsa ki az appRoles tulajdonságot a szolgáltatásnévből a későbbi használathoz.

      Graph config4

      Jegyzet

      Az appRoles tulajdonságot a lekérdezés mezőjében https://graph.microsoft.com/beta/servicePrincipals/<objectID> megadásával keresheti meg. Vegye figyelembe, hogy a objectID az az objektumazonosító, amelyet a Microsoft Entra ID tulajdonságai lapról másolt.

    6. Térjen vissza a Graph Explorerhez, módosítsa a metódust GET-rőlPATCH-re, illessze be a következő tartalmat a Kérelem törzse szakaszba, és válassza a Lekérdezés futtatása lehetőséget:

        {
    "appRoles": [
      {
        "allowedMemberTypes": [
          "User"
        ],
        "description": "msiam_access",
        "displayName": "msiam_access",
        "id": "41be2db8-48d9-4277-8e86-f6d22d35****",
        "isEnabled": true,
        "origin": "Application",
        "value": null
      },
      {
        "allowedMemberTypes": [
          "User"
        ],
        "description": "Admin,AzureADProd",
        "displayName": "Admin,AzureADProd",
        "id": "68adae10-8b6b-47e6-9142-6476078cdbce",
        "isEnabled": true,
        "origin": "ServicePrincipal",
        "value": "acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD"
      }
    ]
  }

      Jegyzet

      A value az IdP ARN-jei és a RAM konzolban létrehozott szerepkör. Itt szükség szerint több szerepkört is hozzáadhat. A Microsoft Entra ID ezen szerepkörök értékét küldi el jogcímértékként az SAML-válaszban. Azonban csak a javításművelet msiam_access része után adhat hozzá új szerepköröket. A létrehozási folyamat simítása érdekében javasoljuk, hogy használjon azonosítógenerátort( például GUID Generatort) azonosítók valós idejű létrehozásához.

    7. Miután a "Szolgáltatásnévjegy" ki van javítva a szükséges szerepkörrel, csatolja a szerepkört a Microsoft Entra felhasználóhoz (u2) a cikk Microsoft Entra tesztfelhasználó hozzárendelése szakaszának lépéseit követve.

Az Alibaba Cloud Service szerepköralapú SSO konfigurálása

Az egyszeri bejelentkezés az Alibaba Cloud Service (szerepköralapú SSO) oldalán való konfigurálásához el kell küldenie a letöltött összevonási metaadatok XML-jét és a megfelelő másolt URL-címeket az alkalmazáskonfigurációból az Alibaba Cloud Service (szerepköralapú SSO) támogatási csapatának. Ezt a beállítást úgy állítják be, hogy az SAML SSO-kapcsolat megfelelően legyen beállítva mindkét oldalon.

Alibaba Cloud Service (szerepköralapú SSO) tesztfelhasználó létrehozása

Ebben a szakaszban egy Britta Simon nevű felhasználót hoz létre az Alibaba Cloud Service-ben (szerepköralapú egyszeri bejelentkezés). Az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) támogatási csapatával együttműködve vegye fel a felhasználókat az Alibaba Cloud Service (szerepköralapú SSO) platformra. A felhasználókat az egyszeri bejelentkezés használata előtt létre kell hozni és aktiválni kell.

SSO tesztelése

Az előző konfigurációk befejezése után tesztelje az Alibaba Cloud Service-t (szerepköralapú egyszeri bejelentkezést) az alábbi lépések végrehajtásával:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Keresse meg az Entra ID>Enterprise-alkalmazásokat>.

  3. Válassza az Egyszeri bejelentkezés lehetőséget, majd a Tesztelés lehetőséget.

    Tesztkonfiguráció1

  4. Válassza a Bejelentkezés aktuális felhasználóként lehetőséget.

    Tesztkonfiguráció2

  5. A fiókkijelölési lapon válassza az u2 lehetőséget.

    Tesztkonfiguráció3

  6. A következő oldal jelenik meg, amely azt jelzi, hogy a szerepköralapú egyszeri bejelentkezés sikeres.

    Tesztkonfiguráció4

Kapcsolódó tartalom

Az Alibaba Cloud Service (szerepköralapú egyszeri bejelentkezés) konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti ki a munkamenet-vezérlést a Microsoft Defender for Cloud Apps használatával.