Samouczek: integracja logowania jednokrotnego (SSO) firmy Microsoft z usługą Alibaba Cloud Service (logowanie jednokrotne oparte na rolach)

  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować usługę Alibaba Cloud Service (SSO opartą na rolach) z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu usługi Alibaba Cloud Service (logowania jednokrotnego opartego na rolach) z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do usługi Alibaba Cloud Service (logowania jednokrotnego opartego na rolach).
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do usługi Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja aplikacji Alibaba Cloud Service (SSO) z obsługą logowania jednokrotnego opartego na rolach.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.

  • Usługa Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) obsługuje logowanie jednokrotne inicjowane przez dostawcę tożsamości

Aby skonfigurować integrację usługi Alibaba Cloud Service (SSO opartej na rolach) z identyfikatorem Entra firmy Microsoft, należy dodać usługę Alibaba Cloud Service (SSO opartą na rolach) z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).

  3. W sekcji Dodawanie z galerii wpisz Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) w polu wyszukiwania.

  4. Wybierz pozycję Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

  5. Na stronie Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) kliknij pozycję Właściwości w okienku nawigacji po lewej stronie i skopiuj identyfikator obiektu i zapisz go na komputerze w celu późniejszego użycia.

    Properties config

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego firmy Microsoft Entra dla usługi W chmurze Alibaba (logowanie jednokrotne oparte na rolach)

Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft z usługą Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem usługi Alibaba Cloud Service (logowanie jednokrotne oparte na rolach).

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft z usługą Alibaba Cloud Service (logowanie jednokrotne oparte na rolach), wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z użytkownikiem Britta Simon.
    2. Przypisz użytkownika testowego aplikacji Microsoft Entra — aby umożliwić użytkownikowi Britta Simon korzystanie z logowania jednokrotnego firmy Microsoft Entra.
  2. Skonfiguruj logowanie jednokrotne oparte na rolach w usłudze Alibaba Cloud Service — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Skonfiguruj logowanie jednokrotne usługi Alibaba Cloud Service (SSO oparte na rolach) — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    2. Tworzenie użytkownika testowego aplikacji Alibaba Cloud Service (SSO opartego na rolach) — aby mieć w usłudze Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) odpowiednik użytkownika Britta Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do aplikacji dla przedsiębiorstw Aplikacji>>dla>przedsiębiorstw Alibaba Cloud Service (SSO opartej na rolach)>Logowanie jednokrotne.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę edycji/pióra dla podstawowej konfiguracji protokołu SAML, aby edytować ustawienia.

    Edit Basic SAML Configuration

  5. W sekcji Podstawowa konfiguracja protokołu SAML, jeśli masz plik metadanych dostawcy usługi, wykonaj następujące kroki:

    a. Kliknij pozycję Przekaż plik metadanych.

    b. Kliknij logo folderu, aby wybrać plik metadanych, a następnie kliknij pozycję Przekaż.

    Uwaga

    1. W przypadku witryny Alibaba Cloud International pobierz metadane dostawcy usług z tego linku.
    2. W przypadku witryny usługi W chmurze Alibaba (CN) pobierz metadane dostawcy usług z tego linku.

    c. Po pomyślnym przekazaniu pliku metadanych wartości Identyfikator i Adres URL odpowiedzi są automatycznie wypełniane w sekcji Alibaba Cloud Service (logowanie jednokrotne oparte na rolach):

    Uwaga

    Jeśli wartości Identyfikator i Adres URL odpowiedzi nie zostaną wypełnione automatycznie, wypełnij wartości ręcznie zgodnie z wymaganiami.

  6. Usługa Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) wymaga skonfigurowania ról w identyfikatorze Entra firmy Microsoft. Oświadczenie roli jest wstępnie skonfigurowane, więc nie musisz go konfigurować, ale nadal musisz utworzyć je w identyfikatorze Entra firmy Microsoft przy użyciu tego artykułu.

  7. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź plik XML metadanych federacji i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

    The Certificate download link

  8. W sekcji Konfigurowanie usługi Alibaba Cloud Service (logowania jednokrotnego opartego na rolach) skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Copy configuration URLs

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
  2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz aplikację B.Simon, aby korzystać z logowania jednokrotnego, udzielając dostępu do usługi Alibaba Cloud Service (SSO opartej na rolach).

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do aplikacji>dla przedsiębiorstw Aplikacji>dla>przedsiębiorstw Alibaba Cloud Service (logowanie jednokrotne oparte na rolach).

  3. Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie i wybierz pozycję Użytkownicy i grupy.

  4. Wybierz pozycję Dodaj użytkownika, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .

  5. Na karcie Użytkownicy i grupy wybierz pozycję u2 z listy użytkowników, a następnie kliknij pozycję Wybierz. Następnie kliknij pozycję Przypisz.

    Assign the Microsoft Entra test user1

  6. Wyświetl przypisaną rolę i przetestuj usługę Alibaba Cloud Service (logowanie jednokrotne oparte na rolach).

    Assign the Microsoft Entra test user2

    Uwaga

    Po przypisaniu użytkownika (u2) utworzona rola zostanie automatycznie dołączona do użytkownika. Jeśli utworzono wiele ról, musisz dołączyć odpowiednią rolę do użytkownika zgodnie z potrzebami. Jeśli chcesz zaimplementować logowanie jednokrotne oparte na rolach z identyfikatora Entra firmy Microsoft do wielu kont usługi Alibaba Cloud, powtórz powyższe kroki.

Konfigurowanie logowania jednokrotnego opartego na rolach w usłudze Alibaba Cloud Service

  1. Zaloguj się do konsoli pamięci RAM chmury Alibaba przy użyciu konta 1.

  2. W okienku nawigacji po lewej stronie wybierz pozycję Logowanie jednokrotne.

  3. Na karcie Logowanie jednokrotne oparte na rolach kliknij pozycję Utwórz dostawcę tożsamości.

  4. Na wyświetlonej stronie wprowadź AAD w polu Nazwa dostawcy tożsamości wprowadź opis w polu Uwaga , kliknij pozycję Przekaż , aby przekazać pobrany wcześniej plik metadanych federacji, a następnie kliknij przycisk OK.

  5. Po pomyślnym utworzeniu dostawcy tożsamości kliknij pozycję Utwórz rolę pamięci RAM.

  6. W polu Nazwa roli pamięci RAM wprowadź ciąg AADrole, wybierz AAD z listy rozwijanej Wybierz dostawcę tożsamości i kliknij przycisk OK.

    Uwaga

    W razie potrzeby możesz udzielić uprawnień do roli. Po utworzeniu dostawcy tożsamości i odpowiedniej roli zalecamy zapisanie nazw ARN dostawcy tożsamości i roli do późniejszego użycia. Nazwy ARN można uzyskać na stronie informacji o dostawcy tożsamości i stronie informacji o roli.

  7. Skojarz rolę pamięci RAM chmury Alibaba (AADrole) z użytkownikiem firmy Microsoft Entra (u2):

    Aby skojarzyć rolę pamięci RAM z użytkownikiem firmy Microsoft Entra, musisz utworzyć rolę w identyfikatorze Entra firmy Microsoft, wykonując następujące kroki:

    1. Zaloguj się do Eksploratora programu Microsoft Graph.

    2. Kliknij pozycję Modyfikuj uprawnienia , aby uzyskać wymagane uprawnienia do tworzenia roli.

      Graph config1

    3. Wybierz następujące uprawnienia z listy i kliknij pozycję Modyfikuj uprawnienia, jak pokazano na poniższej ilustracji.

      Graph config2

      Uwaga

      Po udzieleniu uprawnień zaloguj się ponownie do Eksploratora programu Graph.

    4. Na stronie Eksplorator programu Graph wybierz pozycję GET z pierwszej listy rozwijanej i beta z drugiej listy rozwijanej. Następnie wprowadź https://graph.microsoft.com/beta/servicePrincipals w polu obok list rozwijanych, a następnie kliknij pozycję Uruchom zapytanie.

      Graph config3

      Uwaga

      Jeśli używasz wielu katalogów, możesz wprowadzić w https://graph.microsoft.com/beta/contoso.com/servicePrincipals polu zapytania.

    5. W sekcji Wersja zapoznawcza odpowiedzi wyodrębnij właściwość appRoles z jednostki usługi do późniejszego użycia.

      Graph config4

      Uwaga

      Właściwość appRoles można zlokalizować, wprowadzając https://graph.microsoft.com/beta/servicePrincipals/<objectID> w polu zapytania. Zwróć uwagę, że objectID jest to identyfikator obiektu skopiowany ze strony Właściwości identyfikatora entra firmy Microsoft.

    6. Wróć do Eksploratora programu Graph, zmień metodę z GET na PATCH, wklej następującą zawartość w sekcji Treść żądania, a następnie kliknij pozycję Uruchom zapytanie:

        {
    "appRoles": [
      {
        "allowedMemberTypes": [
          "User"
        ],
        "description": "msiam_access",
        "displayName": "msiam_access",
        "id": "41be2db8-48d9-4277-8e86-f6d22d35****",
        "isEnabled": true,
        "origin": "Application",
        "value": null
      },
      {
        "allowedMemberTypes": [
          "User"
        ],
        "description": "Admin,AzureADProd",
        "displayName": "Admin,AzureADProd",
        "id": "68adae10-8b6b-47e6-9142-6476078cdbce",
        "isEnabled": true,
        "origin": "ServicePrincipal",
        "value": "acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD"
      }
    ]
  }

      Uwaga

      Jest value to nazwy ARN dostawcy tożsamości i roli utworzonej w konsoli pamięci RAM. W tym miejscu możesz dodać wiele ról w razie potrzeby. Identyfikator Entra firmy Microsoft wyśle wartość tych ról jako wartość oświadczenia w odpowiedzi SAML. Można jednak dodawać nowe role tylko po msiam_access części operacji stosowania poprawek. Aby wygładzyć proces tworzenia, zalecamy użycie generatora identyfikatorów, takiego jak generator identyfikatorów GUID, do generowania identyfikatorów w czasie rzeczywistym.

    7. Po wprowadzeniu poprawki "Jednostka usługi" z wymaganą rolą dołącz rolę do użytkownika Microsoft Entra (u2), wykonując kroki sekcji Przypisywanie użytkownika testowego firmy Microsoft Entra w samouczku.

Konfigurowanie logowania jednokrotnego w usłudze Alibaba Cloud Service (SSO opartego na rolach)

Aby skonfigurować logowanie jednokrotne po stronie usługi Alibaba Cloud Service (SSO opartej na rolach), musisz wysłać pobrany kod XML metadanych federacji i odpowiednie adresy URL skopiowane z konfiguracji aplikacji do zespołu pomocy technicznej usługi Alibaba Cloud Service (SSO opartego na rolach). Ustawią oni to ustawienie tak, aby połączenie logowania jednokrotnego SAML było ustawione właściwie po obu stronach.

Tworzenie użytkownika testowego aplikacji Alibaba Cloud Service (SSO opartego na rolach)

W tej sekcji utworzysz użytkownika Britta Simon w usłudze Alibaba Cloud Service (logowanie jednokrotne oparte na rolach). We współpracy z zespołem pomocy technicznej aplikacji Alibaba Cloud Service (SSO opartym na rolach) dodaj użytkowników na platformie usługi Alibaba Cloud Service (SSO opartej na rolach). Użytkownicy muszą być utworzeni i aktywowani przed rozpoczęciem korzystania z logowania jednokrotnego.

Testowanie logowania jednokrotnego

Po zakończeniu poprzednich konfiguracji przetestuj usługę Alibaba Cloud Service (logowanie jednokrotne oparte na rolach), wykonując następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do aplikacji>dla przedsiębiorstw Aplikacji>dla>przedsiębiorstw Alibaba Cloud Service (logowanie jednokrotne oparte na rolach).

  3. Wybierz pozycję Logowanie jednokrotne, a następnie kliknij pozycję Testuj.

    Test config1

  4. Kliknij pozycję Zaloguj się jako bieżący użytkownik.

    Test config2

  5. Na stronie wyboru konta wybierz pozycję u2.

    Test config3

  6. Zostanie wyświetlona następująca strona wskazująca, że logowanie jednokrotne oparte na rolach zakończyło się pomyślnie.

    Test config4

Następne kroki

Po skonfigurowaniu usługi Alibaba Cloud Service (logowania jednokrotnego opartego na rolach) możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.