Integrasi single sign-on (SSO) Microsoft Entra dengan Alibaba Cloud Service (SSO berbasis peran)

Dalam artikel ini, Anda akan mempelajari cara mengintegrasikan Alibaba Cloud Service (SSO berbasis Peran) dengan MICROSOFT Entra ID. Saat mengintegrasikan Alibaba Cloud Service (SSO berbasis Peran) dengan MICROSOFT Entra ID, Anda dapat:

• Mengontrol di MICROSOFT Entra ID siapa yang memiliki akses ke Alibaba Cloud Service (SSO berbasis Peran).
• Memungkinkan pengguna Anda untuk masuk secara otomatis ke Alibaba Cloud Service (SSO berbasis Peran) dengan akun Microsoft Entra mereka.
• Kelola akun Anda di satu lokasi pusat.

Prasyarat

Skenario yang diuraikan dalam artikel ini mengasumsikan bahwa Anda sudah memiliki prasyarat berikut:

• Akun pengguna Microsoft Entra dengan langganan aktif. Jika Anda belum memilikinya, Anda dapat Membuat akun secara gratis.
• Salah satu peran berikut:
  • Administrator Aplikasi
  • Administrator Aplikasi Cloud
  • Pemilik Aplikasi .

• Langganan Alibaba Cloud Service dengan Single Sign-On (SSO) berbasis Peran diaktifkan.

Deskripsi skenario

Dalam artikel ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian.

• Alibaba Cloud Service (SSO berbasis Peran) mendukung SSO yang diinisiasi IDP

Menambahkan layanan Alibaba Cloud (Single Sign-On berbasis peran) dari galeri

Untuk mengonfigurasi integrasi Alibaba Cloud Service (SSO berbasis Peran) ke microsoft Entra ID, Anda perlu menambahkan Alibaba Cloud Service (SSO berbasis Peran) dari galeri ke daftar aplikasi SaaS terkelola Anda.

1. Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Aplikasi Cloud.

2. Telusuri ke Identitas>Aplikasi>Aplikasi enterprise>Aplikasi baru.

3. Di bagian Tambahkan dari galeri, ketik Alibaba Cloud Service (SSO berbasis Peran) di kotak pencarian.

4. Pilih Alibaba Cloud Service (SSO berbasis Peran) dari panel hasil lalu tambahkan aplikasi. Tunggu beberapa detik saat aplikasi ditambahkan ke penyewa Anda.

5. Pada halaman Alibaba Cloud Service (SSO berbasis Peran), klik Properti di panel navigasi sisi kiri, kemudian salin ID objek dan simpan di komputer Anda untuk penggunaan berikutnya.

   

Sebagai alternatif, Anda bisa juga menggunakan Wizard Konfigurasi Aplikasi Perusahaan . Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji SSO Microsoft Entra untuk Alibaba Cloud Service (SSO berbasis Peran)

Konfigurasikan dan uji SSO Microsoft Entra dengan Alibaba Cloud Service (SSO berbasis Peran) menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di Alibaba Cloud Service (SSO berbasis Peran).

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan Alibaba Cloud Service (SSO berbasis Peran), lakukan langkah-langkah berikut:

1. Mengonfigurasi microsoft Entra SSO - untuk memungkinkan pengguna Anda menggunakan fitur ini.
   1. Buat pengguna uji coba Microsoft Entra - untuk menguji single sign-on Microsoft Entra dengan Britta Simon.
   2. Tetapkan pengguna uji Microsoft Entra - agar Britta Simon dapat menggunakan single sign-on Microsoft Entra.
2. Konfigurasikan Role-Based Sign-On Tunggal di Layanan Cloud Alibaba - untuk memungkinkan pengguna Anda menggunakan fitur ini.
   1. Mengonfigurasi Layanan Alibaba Cloud (SSO berbasis Peran) - untuk mengatur pengaturan SSO Sign-On di sisi aplikasi.
   2. Buat pengguna pengujian Alibaba Cloud Service (SSO berbasis Peran) - untuk memiliki padanan Britta Simon di Alibaba Cloud Service (SSO berbasis Peran) yang ditautkan ke representasi pengguna dalam Microsoft Entra.
3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasi Microsoft Entra SSO

Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Entra.

1. Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Aplikasi Cloud.

2. Telusuri Identitas>Aplikasi>Enterprise applications>Alibaba Cloud Service (SSO berbasis Peran)>Single sign-on.

3. Pada halaman Pilih metode single sign-on, pilih SAML.

4. Pada halaman Siapkan akses menyeluruh dengan SAML, klik ikon pena/edit untuk Konfigurasi SAML Dasar guna mengedit pengaturan.

   

5. Pada bagian Konfigurasi SAML Dasar, jika Anda memiliki file metadata Penyedia Layanan , lakukan langkah-langkah berikut:

   a. Klik Unggah file metadata.

   b. Klik logo folder untuk memilih file metadata dan klik Unggah.

   Nota

   1. Untuk Situs Internasional Alibaba Cloud, silakan unduh metadata Penyedia Layanan dari tautan ini.
   2. Untuk Situs Alibaba Cloud Service(CN), silakan unduh metadata Penyedia Layanan dari tautan ini.

   c. Setelah file metadata berhasil diunggah, nilai Pengidentifikasi dan URL Balasan diisi secara otomatis di kotak teks bagian Alibaba Cloud Service (SSO berbasis Peran):

   Nota

   Jika nilai Pengidentifikasi dan nilai URL Balasan tidak diisi secara otomatis, isi nilai tersebut secara manual sesuai dengan kebutuhan Anda.

6. Alibaba Cloud Service (SSO berbasis Peran) mengharuskan peran dikonfigurasi oleh pengguna di Microsoft Entra ID. Klaim peranan telah dikonfigurasi sebelumnya, sehingga Anda tidak perlu mengonfigurasinya, tetapi Anda masih perlu membuatnya di Microsoft Entra ID menggunakan artikel ini .

7. Pada halaman Siapkan akses menyeluruh dengan SAML, di bagian Sertifikat Penandatanganan SAML, temukan XML Metadata Federasi dan pilih Unduh untuk mengunduh sertifikat lalu simpan di komputer Anda.

   

8. Pada bagian Siapkan Alibaba Cloud Service (SSO berbasis Peran), salin URL yang sesuai berdasarkan kebutuhan Anda.

   

Membuat pengguna uji Microsoft Entra

Di bagian ini, Anda membuat pengguna uji bernama B.Simon.

1. Masuk ke pusat admin Microsoft Entra minimal sebagai Administrator Pengguna.
2. Telusuri ke Identitas >Pengguna>Semua pengguna.
3. Pilih Pengguna baru>Buat pengguna baru, di bagian atas layar.
4. Pada properti Pengguna , ikuti langkah-langkah berikut:
   1. Di bidang Nama tampilan, masukkan B.Simon.
   2. Di bidang Nama principal pengguna, masukkan username@companydomain.extension. Misalnya, B.Simon@contoso.com.
   3. Pilih kotak centang Perlihatkan kata sandi, lalu tuliskan nilai yang ditampilkan dalam kotak Kata Sandi.
   4. Pilih Periksa + buat.
5. Pilih Buat.

Menetapkan pengguna uji Microsoft Entra

Di bagian ini, Anda memungkinkan B.Simon untuk menggunakan fitur masuk tunggal dengan memberikan akses ke Salesforce.

1. Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Aplikasi Cloud.
2. Telusuri Aplikasi>Identitas>aplikasi Enterprise. Pilih aplikasi Anda dari daftar aplikasi.
3. Di halaman gambaran umum aplikasi, pilih Pengguna dan grup.
4. Pilih Tambahkan pengguna/grup, lalu pilih Pengguna dan grup dalam dialog Tambahkan Penugasan.
   1. Dalam dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu pilih tombol Pilih di bagian bawah layar.
   2. Jika Anda ingin menetapkan peran kepada pengguna, Anda dapat memilihnya dari menu tarik-turun Pilih peran. Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Bawaan" dipilih.
   3. Dalam dialog Tambahkan Tugas, pilih tombol Tugaskan.

mengonfigurasi Role-Based tunggal Sign-On di Layanan Alibaba Cloud

1. Masuk ke konsol RAM Alibaba Cloud dengan menggunakan Akun1.

2. Di panel navigasi sisi kiri, pilih SSO.

3. Pada tab SSO Berbasis Peran, klik Buat IdP.

4. Pada halaman yang ditampilkan, masukkan AAD di bidang Nama IdP, masukkan deskripsi di bidang Catatan, klik Unggah untuk mengunggah file metadata federasi yang Anda unduh sebelumnya, dan klik OK.

5. Setelah IdP berhasil dibuat, klik Buat Peran RAM.

6. Di bidang Nama Peran RAM masukkan AADrole, pilih AAD dari daftar drop-down Pilih IdP dan klik OK.

   Nota

   Anda dapat memberikan izin kepada peran sesuai kebutuhan. Setelah membuat IdP dan peran yang sesuai, kami sarankan Anda menyimpan ARN IdP dan peran untuk penggunaan berikutnya. Anda dapat memperoleh ARN di halaman informasi IdP dan halaman informasi peran.

7. Kaitkan peran RAM Alibaba Cloud (AADrole) dengan pengguna Microsoft Entra (u2):

   Untuk mengaitkan peran RAM dengan pengguna Microsoft Entra, Anda harus membuat peran di ID Microsoft Entra dengan mengikuti langkah-langkah berikut:

   1. Masuk ke Microsoft Graph Explorer.

   2. Klik untuk mengubah hak akses agar mendapatkan hak akses yang diperlukan untuk membuat peran.

      

   3. Pilih izin berikut dari daftar dan klik Ubah Izin, seperti yang diperlihatkan dalam gambar berikut.

      

      Nota

      Setelah izin diberikan, masuk lagi ke Graph Explorer.

   4. Pada halaman Graph Explorer, pilih GET dari daftar drop-down pertama dan beta dari daftar drop-down kedua. Lalu masukkan https://graph.microsoft.com/beta/servicePrincipals ke dalam bidang di sebelah daftar drop-down, lalu klik Jalankan Kueri.

      

      Nota

      Jika Anda menggunakan beberapa direktori, Anda bisa memasukkan https://graph.microsoft.com/beta/contoso.com/servicePrincipals di bidang kueri.

   5. Di bagian Pratinjau Respons, ekstrak properti appRoles dari 'Service Principal' untuk penggunaan berikutnya.

      

      Nota

      Anda dapat menemukan properti appRoles dengan memasukkan https://graph.microsoft.com/beta/servicePrincipals/<objectID> di bidang kueri. Perhatikan bahwa objectID adalah ID objek yang telah Anda salin dari halaman Properti ID Microsoft Entra.

   6. Kembali ke Graph Explorer, ubah metode dari GET ke PATCH, tempelkan konten berikut ke bagian Isi Permintaan, dan klik Jalankan Kueri:

        {
          "appRoles": [
            {
              "allowedMemberTypes": [
                "User"
              ],
              "description": "msiam_access",
              "displayName": "msiam_access",
              "id": "41be2db8-48d9-4277-8e86-f6d22d35****",
              "isEnabled": true,
              "origin": "Application",
              "value": null
            },
            {
              "allowedMemberTypes": [
                "User"
              ],
              "description": "Admin,AzureADProd",
              "displayName": "Admin,AzureADProd",
              "id": "68adae10-8b6b-47e6-9142-6476078cdbce",
              "isEnabled": true,
              "origin": "ServicePrincipal",
              "value": "acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD"
            }
          ]
        }
      

      Nota

      value adalah ARN dari IdP dan peran yang Anda buat di konsol RAM. Di sini, Anda dapat menambahkan beberapa peran sesuai kebutuhan. MICROSOFT Entra ID akan mengirim nilai peran ini sebagai nilai klaim dalam respons SAML. Namun, Anda hanya dapat menambahkan peran baru setelah bagian msiam_access untuk operasi patch. Untuk melancarkan proses pembuatan, kami sarankan Anda menggunakan generator ID, seperti GENERATOR GUID, untuk menghasilkan ID secara real time.

   7. Setelah 'Perwakilan Layanan' diperbarui dengan peran yang diperlukan, hubungkan peran tersebut dengan pengguna Microsoft Entra (u2) dengan mengikuti langkah-langkah pada bagian Tetapkan pengguna uji Microsoft Entra dari artikel.

Konfigurasi SSO Alibaba Cloud Service (SSO Berbasis Peran)

Untuk mengonfigurasi single sign-on pada sisi Alibaba Cloud Service (SSO berbasis Peran), Anda perlu mengirim XML Metadata Federasi yang diunduh dan URL yang disalin yang sesuai dari konfigurasi aplikasi ke tim dukungan Alibaba Cloud Service (SSO berbasis Peran). Mereka mengatur pengaturan ini agar koneksi SSO SAML diatur dengan benar di kedua sisi.

Buat pengguna uji Alibaba Cloud Service (SSO berbasis Peran)

Di bagian ini, Anda membuat pengguna bernama Britta Simon di Alibaba Cloud Service (SSO berbasis Peran). Bekerja dengan tim dukungan Alibaba Cloud Service (SSO berbasis Peran) untuk menambahkan pengguna di platform Alibaba Cloud Service (SSO berbasis Peran). Pengguna harus dibuat dan diaktifkan sebelum menggunakan single sign-on.

Uji SSO

Setelah konfigurasi sebelumnya selesai, uji Alibaba Cloud Service (SSO berbasis Peran) dengan mengikuti langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Aplikasi Cloud.

2. Telusuri ke Identity>Applications>Enterprise applications>Alibaba Cloud Service (SSO berbasis Peran).

3. Pilih Masuk tunggal, dan klik Tes.

   

4. Klik Masuk sebagai pengguna saat ini.

   

5. Pada halaman pemilihan akun, pilih u2.

   

6. Halaman berikut ditampilkan, menunjukkan bahwa SSO berbasis peran berhasil.

   

Konten terkait

Setelah mengonfigurasi Alibaba Cloud Service (SSO berbasis Peran) Anda dapat menerapkan kontrol sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol sesi diperluas dari Akses Bersyarat. Pelajari cara menerapkan kontrol sesi dengan Microsoft Defender for Cloud Apps.