Mengonfigurasi Alibaba Cloud Service (SSO berbasis Peran) untuk Akses menyeluruh dengan ID Microsoft Entra

Dalam artikel ini, Anda mempelajari cara mengintegrasikan Alibaba Cloud Service (SSO berbasis Peran) dengan ID Microsoft Entra. Saat mengintegrasikan Alibaba Cloud Service (SSO berbasis Peran) dengan MICROSOFT Entra ID, Anda dapat:

• Mengontrol di MICROSOFT Entra ID siapa yang memiliki akses ke Alibaba Cloud Service (SSO berbasis Peran).
• Memungkinkan pengguna Anda untuk masuk secara otomatis ke Alibaba Cloud Service (SSO berbasis Peran) dengan akun Microsoft Entra mereka.
• Kelola akun Anda di satu lokasi pusat.

Prasyarat

Skenario yang diuraikan dalam artikel ini mengasumsikan bahwa Anda sudah memiliki prasyarat berikut:

• Akun pengguna Microsoft Entra dengan langganan aktif. Jika Anda belum memilikinya, Anda dapat Membuat akun secara gratis.
• Salah satu peran berikut:
  • Administrator Aplikasi
  • Administrator Aplikasi Cloud
  • Pemilik Aplikasi .

• Langganan Alibaba Cloud Service dengan Single Sign-On (SSO) berbasis Peran diaktifkan.

Deskripsi skenario

Dalam artikel ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian.

• Alibaba Cloud Service (SSO berbasis Peran) mendukung SSO yang diinisiasi IDP

Menambahkan layanan Alibaba Cloud (Single Sign-On berbasis peran) dari galeri

Untuk mengonfigurasi integrasi Alibaba Cloud Service (SSO berbasis Peran) ke microsoft Entra ID, Anda perlu menambahkan Alibaba Cloud Service (SSO berbasis Peran) dari galeri ke daftar aplikasi SaaS terkelola Anda.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri ke Entra ID>Aplikasi Perusahaan>Aplikasi baru.

3. Di bagian Tambahkan dari galeri , ketik Alibaba Cloud Service (SSO berbasis Peran) di kotak pencarian.

4. Pilih Alibaba Cloud Service (SSO berbasis Peran) dari panel hasil lalu tambahkan aplikasi. Tunggu beberapa detik saat aplikasi ditambahkan ke penyewa Anda.

5. Pada halaman Alibaba Cloud Service (SSO berbasis Peran), pilih Properti di panel navigasi sisi kiri, dan salin ID objek dan simpan di komputer Anda untuk penggunaan berikutnya.

   

Sebagai alternatif, Anda bisa juga menggunakan Wizard Konfigurasi Aplikasi Perusahaan . Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, dan menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji SSO Microsoft Entra untuk Alibaba Cloud Service (SSO berbasis Peran)

Konfigurasikan dan uji SSO Microsoft Entra dengan Alibaba Cloud Service (SSO berbasis Peran) menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di Alibaba Cloud Service (SSO berbasis Peran).

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan Alibaba Cloud Service (SSO berbasis Peran), lakukan langkah-langkah berikut:

1. Konfigurasikan SSO Microsoft Entra - untuk memungkinkan pengguna Anda menggunakan fitur ini.
   1. Buat pengguna uji Microsoft Entra - untuk menguji satu kali masuk Microsoft Entra dengan Britta Simon.
   2. Tetapkan pengguna pengujian Microsoft Entra - agar Britta Simon dapat menggunakan akses menyeluruh Microsoft Entra.
2. Konfigurasikan Role-Based Sign-On Tunggal di Layanan Cloud Alibaba - untuk memungkinkan pengguna Anda memanfaatkan fitur ini.
   1. Konfigurasikan SSO Alibaba Cloud Service (SSO berbasis Peran) - untuk mengonfigurasi pengaturan Sign-On Tunggal di sisi aplikasi.
   2. Buat pengguna uji Alibaba Cloud Service (SSO Berbasis Peran) - untuk memiliki padanan Britta Simon di Alibaba Cloud Service (SSO Berbasis Peran) yang terkait dengan representasi pengguna di Microsoft Entra.
3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasi Microsoft Entra SSO

Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Entra.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri ke Entra ID>aplikasi Enterprise>Alibaba Cloud Service (SSO berbasis Peran)>Single sign-on.

3. Pada halaman Pilih metode aksesmenyeluruh, pilih SAML.

4. Pada halaman Siapkan akses menyeluruh dengan SAML , pilih ikon edit/pena untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.

   

5. Pada bagian Konfigurasi SAML Dasar , jika Anda memiliki file metadata Penyedia Layanan, lakukan langkah-langkah berikut:

   sebuah. Pilih Unggah file metadata.

   b. Pilih logo folder untuk memilih file metadata dan pilih Unggah.

   Nota

   1. Untuk Situs Internasional Alibaba Cloud, silakan unduh metadata Penyedia Layanan dari tautan ini .
   2. Untuk Situs Alibaba Cloud Service(CN), silakan unduh metadata Penyedia Layanan dari tautan ini .

   c. Setelah file metadata berhasil diunggah, nilai Pengidentifikasi dan URL Balasan diisi secara otomatis di kotak teks bagian Alibaba Cloud Service (SSO berbasis Peran):

   Nota

   Jika nilai Pengidentifikasi dan URL Balasan tidak diisi secara otomatis, isi nilai secara manual sesuai dengan kebutuhan Anda.

6. Alibaba Cloud Service (SSO berbasis Peran) mengharuskan peran dikonfigurasi oleh pengguna di Microsoft Entra ID. Klaim peranan telah dikonfigurasi sebelumnya, sehingga Anda tidak perlu mengonfigurasinya, tetapi Anda masih perlu membuatnya di Microsoft Entra ID menggunakan artikel ini .

7. Pada halaman Siapkan akses menyeluruh dengan SAML , di bagian Sertifikat Penandatanganan SAML , temukan XML Metadata Federasi dan pilih Unduh untuk mengunduh sertifikat dan menyimpannya di komputer Anda.

   

8. Pada bagian Siapkan Alibaba Cloud Service (SSO berbasis Peran), salin URL yang sesuai berdasarkan kebutuhan Anda.

   

Membuat dan menetapkan pengguna uji Microsoft Entra

Ikuti panduan cepat membuat dan menetapkan akun pengguna untuk membuat akun pengguna bernama B.Simon untuk uji coba.

mengonfigurasi Role-Based tunggal Sign-On di Layanan Alibaba Cloud

1. Masuk ke konsol RAM Alibaba Cloud dengan menggunakan Akun1.

2. Di panel navigasi sisi kiri, pilih SSO.

3. Pada tab SSO berbasis Peran , pilih Buat IdP.

4. Pada halaman yang ditampilkan, masukkan AAD di bidang Nama IdP, masukkan deskripsi di bidang Catatan , pilih Unggah untuk mengunggah file metadata federasi yang Anda unduh sebelumnya, dan pilih OK.

5. Setelah IdP berhasil dibuat, pilih Buat Peran RAM.

6. Di bidang Nama Peran RAM masukkan AADrole, pilih AAD dari daftar drop-down Pilih IdP dan pilih OK.

   Nota

   Anda dapat memberikan izin kepada peran sesuai kebutuhan. Setelah membuat IdP dan peran yang sesuai, kami sarankan Anda menyimpan ARN IdP dan peran untuk penggunaan berikutnya. Anda dapat memperoleh ARN pada halaman informasi IdP dan halaman informasi peran.

7. Kaitkan peran RAM Alibaba Cloud (AADrole) dengan pengguna Microsoft Entra (u2):

   Untuk mengaitkan peran RAM dengan pengguna Microsoft Entra, Anda harus membuat peran di ID Microsoft Entra dengan mengikuti langkah-langkah berikut:

   1. Masuk ke Microsoft Graph Explorer.

   2. Pilih ubah izin untuk mendapatkan izin yang diperlukan untuk membuat peran.

      

   3. Pilih izin berikut dari daftar dan pilih Ubah Izin, seperti yang diperlihatkan dalam gambar berikut.

      

      Nota

      Setelah izin diberikan, masuk lagi ke Graph Explorer.

   4. Pada halaman Graph Explorer, pilih GET dari daftar drop-down pertama dan beta dari daftar drop-down kedua. Lalu masukkan https://graph.microsoft.com/beta/servicePrincipals di bidang di samping daftar drop-down, dan pilih Jalankan Kueri.

      

      Nota

      Jika Anda menggunakan beberapa direktori, Anda bisa memasukkan https://graph.microsoft.com/beta/contoso.com/servicePrincipals di bidang kueri.

   5. Di bagian Pratinjau Respons, ekstrak properti appRoles dari 'Prinsipal Layanan' untuk digunakan selanjutnya.

      

      Nota

      Anda dapat menemukan properti appRoles dengan memasukkan https://graph.microsoft.com/beta/servicePrincipals/<objectID> di bidang kueri. Perhatikan bahwa objectID adalah ID objek yang telah Anda salin dari halaman Properti ID Microsoft Entra.

   6. Kembali ke Graph Explorer, ubah metode dari GET ke PATCH, tempelkan konten berikut ke bagian Isi Permintaan , dan pilih Jalankan Kueri:

        {
          "appRoles": [
            {
              "allowedMemberTypes": [
                "User"
              ],
              "description": "msiam_access",
              "displayName": "msiam_access",
              "id": "41be2db8-48d9-4277-8e86-f6d22d35****",
              "isEnabled": true,
              "origin": "Application",
              "value": null
            },
            {
              "allowedMemberTypes": [
                "User"
              ],
              "description": "Admin,AzureADProd",
              "displayName": "Admin,AzureADProd",
              "id": "68adae10-8b6b-47e6-9142-6476078cdbce",
              "isEnabled": true,
              "origin": "ServicePrincipal",
              "value": "acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD"
            }
          ]
        }
      

      Nota

      value adalah ARN dari IdP dan peran yang Anda buat di konsol RAM. Di sini, Anda dapat menambahkan beberapa peran sesuai kebutuhan. MICROSOFT Entra ID mengirimkan nilai peran ini sebagai nilai klaim dalam respons SAML. Namun, Anda hanya dapat menambahkan peran baru setelah bagian msiam_access untuk operasi patch. Untuk melancarkan proses pembuatan, kami sarankan Anda menggunakan generator ID, seperti GENERATOR GUID, untuk menghasilkan ID secara real time.

   7. Setelah 'Perwakilan Layanan' di-patch dengan peran yang diperlukan, lampirkan peran ke pengguna Microsoft Entra (u2) dengan mengikuti langkah-langkah pada bagian Tetapkan pengguna uji Microsoft Entra di artikel.

Konfigurasi SSO Alibaba Cloud Service (SSO Berbasis Peran)

Untuk mengonfigurasi Single Sign-On di sisi Alibaba Cloud Service (SSO berbasis Peran), Anda perlu mengirim XML Metadata Federasi yang diunduh dan URL yang disalin yang tepat dari konfigurasi aplikasi ke tim dukungan Alibaba Cloud Service (SSO berbasis Peran). Mereka mengatur pengaturan ini agar koneksi SSO SAML diatur dengan benar di kedua sisi.

Buat pengguna uji Alibaba Cloud Service (SSO berbasis Peran)

Di bagian ini, Anda membuat pengguna bernama Britta Simon di Alibaba Cloud Service (SSO berbasis Peran). Bekerja sama dengan tim dukungan Alibaba Cloud Service (SSO berbasis Peran) untuk menambahkan pengguna di platform Alibaba Cloud Service (SSO berbasis Peran). Pengguna harus dibuat dan diaktifkan sebelum menggunakan single sign-on.

Uji SSO

Setelah konfigurasi sebelumnya selesai, uji Alibaba Cloud Service (SSO berbasis Peran) dengan mengikuti langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Masuk ke Entra ID>Enterprise apps>Alibaba Cloud Service (SSO berbasis Peran).

3. Pilih Akses menyeluruh, dan pilih Uji.

   

4. Pilih Masuk sebagai pengguna saat ini.

   

5. Pada halaman pemilihan akun, pilih u2.

   

6. Halaman berikut ditampilkan, menunjukkan bahwa SSO berbasis peran berhasil.

   

Konten terkait

Setelah mengonfigurasi Alibaba Cloud Service (SSO berbasis Peran) Anda dapat menerapkan kontrol sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol sesi diperluas dari Akses Bersyarat. Pelajari cara menerapkan kontrol sesi dengan Aplikasi Pertahanan Microsoft untuk Cloud.