Tutorial: Integração do logon único (SSO) do Microsoft Entra com o Alibaba Cloud Service (SSO baseado em função)

  • Artigo

Neste tutorial, você aprenderá como integrar o Alibaba Cloud Service (SSO baseado em função) com o Microsoft Entra ID. Ao integrar o Alibaba Cloud Service (SSO baseado em função) com o Microsoft Entra ID, você pode:

  • Controle no Microsoft Entra ID quem tem acesso ao Alibaba Cloud Service (SSO baseado em função).
  • Permita que seus usuários sejam automaticamente conectados ao Alibaba Cloud Service (SSO baseado em função) com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisa dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
  • Assinatura habilitada para logon único (SSO) do Alibaba Cloud Service (SSO baseado em função).

Descrição do cenário

Neste tutorial, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

  • O Alibaba Cloud Service (SSO baseado em função) suporta SSO iniciado por IDP

Para configurar a integração do Alibaba Cloud Service (SSO baseado em função) no Microsoft Entra ID, você precisa adicionar o Alibaba Cloud Service (SSO baseado em função) da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.

  3. Na seção Adicionar da galeria, digite Alibaba Cloud Service (SSO baseado em função) na caixa de pesquisa.

  4. Selecione Alibaba Cloud Service (SSO baseado em função) no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

  5. Na página Alibaba Cloud Service (SSO baseado em função), clique em Propriedades no painel de navegação do lado esquerdo, copie o ID do objeto e salve-o em seu computador para uso subsequente.

    Properties config

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para Alibaba Cloud Service (SSO baseado em função)

Configure e teste o Microsoft Entra SSO com o Alibaba Cloud Service (SSO baseado em função) usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Alibaba Cloud Service (SSO baseado em função).

Para configurar e testar o Microsoft Entra SSO com o Alibaba Cloud Service (SSO baseado em função), execute as seguintes etapas:

  1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
    1. Criar um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com Brenda Fernandes.
    2. Atribua o usuário de teste do Microsoft Entra - para permitir que Brenda Fernandes use o logon único do Microsoft Entra.
  2. Configure o logon único baseado em função no Alibaba Cloud Service - para permitir que seus usuários usem esse recurso.
    1. Configure o Alibaba Cloud Service (SSO baseado em função) SSO - para configurar as configurações de Single Sign-On no lado do aplicativo.
    2. Crie um usuário de teste do Alibaba Cloud Service (SSO baseado em função) - para ter um equivalente de Brenda Fernandes no Alibaba Cloud Service (SSO baseado em função) vinculado à representação do usuário do Microsoft Entra.
  3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>Alibaba Cloud Service (SSO baseado em função)>Single sign-on.

  3. Na página Selecione um método de logon único, selecione SAML.

  4. Na página Configurar logon único com SAML, clique no ícone editar/caneta para Configuração Básica de SAML para editar as configurações.

    Edit Basic SAML Configuration

  5. Na seção Configuração Básica do SAML, se você tiver o arquivo de metadados do Provedor de Serviços, execute as seguintes etapas:

    a. Clique em Carregar arquivo de metadados.

    b. Clique no logotipo da pasta para selecionar o arquivo de metadados e clique em Carregar.

    Nota

    1. Para o Alibaba Cloud International Site, faça o download dos metadados do Provedor de Serviços neste link.
    2. Para o Alibaba Cloud Service (CN) Site, faça o download dos metadados do provedor de serviços neste link.

    c. Depois que o arquivo de metadados é carregado com êxito, os valores de URL de Identificador e Resposta são preenchidos automaticamente na caixa de texto da seção Alibaba Cloud Service (SSO baseado em função):

    Nota

    Se os valores Identificador e URL de resposta não forem preenchidos automaticamente, preencha os valores manualmente de acordo com sua necessidade.

  6. O Alibaba Cloud Service (SSO baseado em função) exige que as funções sejam configuradas no Microsoft Entra ID. A declaração de função é pré-configurada para que você não precise configurá-la, mas ainda precisa criá-la no Microsoft Entra ID usando este artigo.

  7. Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, localize XML de Metadados de Federação e selecione Download para baixar o certificado e salvá-lo em seu computador.

    The Certificate download link

  8. Na seção Configurar o Alibaba Cloud Service (SSO baseado em função), copie o(s) URL(s) apropriado(s) com base em sua necessidade.

    Copy configuration URLs

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
  2. Navegue até Identidade>de usuários Todos os usuários.>
  3. Selecione Novo usuário Criar novo usuário>, na parte superior da tela.
  4. Nas propriedades do usuário , siga estas etapas:
    1. No campo Nome para exibição , digite B.Simon.
    2. No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
    4. Selecione Rever + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que B.Simon use o logon único concedendo acesso ao Alibaba Cloud Service (SSO baseado em função).

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>Alibaba Cloud Service (SSO baseado em função).

  3. Na página de visão geral do aplicativo, localize a seção Gerenciar e selecione Usuários e grupos.

  4. Selecione Adicionar usuário e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição .

  5. Na guia Usuários e grupos, selecione u2 na lista de usuários e clique em Selecionar. Em seguida, clique em Atribuir.

    Assign the Microsoft Entra test user1

  6. Veja a função atribuída e teste o Alibaba Cloud Service (SSO baseado em função).

    Assign the Microsoft Entra test user2

    Nota

    Depois de atribuir o usuário (u2), a função criada é automaticamente anexada ao usuário. Se você criou várias funções, precisará anexar a função apropriada ao usuário, conforme necessário. Se você quiser implementar o SSO baseado em função do Microsoft Entra ID para várias contas do Alibaba Cloud, repita as etapas anteriores.

Configurar o logon único baseado em função no Alibaba Cloud Service

  1. Faça login no console Alibaba Cloud RAM usando Account1.

  2. No painel de navegação esquerdo, selecione SSO.

  3. Na guia SSO baseado em função, clique em Criar IdP.

  4. Na página exibida, insira o campo Nome do IdP, insira AAD uma descrição no campo Nota, clique em Carregar para carregar o arquivo de metadados de federação que você baixou antes e clique em OK.

  5. Depois que o IdP for criado com êxito, clique em Criar função RAM.

  6. No campo Nome da função RAM, digite AADrole, selecione AAD na lista suspensa Selecionar IdP e clique em OK.

    Nota

    Você pode conceder permissão para a função conforme necessário. Depois de criar o IdP e a função correspondente, recomendamos que você salve os ARNs do IdP e a função para uso subsequente. Você pode obter os ARNs na página de informações do IdP e na página de informações da função.

  7. Associe a função Alibaba Cloud RAM (AADrole) ao usuário do Microsoft Entra (u2):

    Para associar a função RAM ao usuário do Microsoft Entra, você deve criar uma função na ID do Microsoft Entra seguindo estas etapas:

    1. Entre no Microsoft Graph Explorer.

    2. Clique em modificar permissões para obter as permissões necessárias para criar uma função.

      Graph config1

    3. Selecione as seguintes permissões na lista e clique em Modificar Permissões, conforme mostrado na figura a seguir.

      Graph config2

      Nota

      Depois que as permissões forem concedidas, entre no Graph Explorer novamente.

    4. Na página Graph Explorer, selecione GET na primeira lista suspensa e beta na segunda lista suspensa. Em seguida, insira https://graph.microsoft.com/beta/servicePrincipals o campo ao lado das listas suspensas e clique em Executar consulta.

      Graph config3

      Nota

      Se você estiver usando vários diretórios, poderá inserir https://graph.microsoft.com/beta/contoso.com/servicePrincipals no campo da consulta.

    5. Na seção Visualização de resposta, extraia a propriedade appRoles da 'Entidade de serviço' para uso subsequente.

      Graph config4

      Nota

      Você pode localizar a propriedade appRoles inserindo https://graph.microsoft.com/beta/servicePrincipals/<objectID> o campo da consulta. Observe que o é o objectID ID do objeto que você copiou da página Propriedades do ID do Microsoft Entra.

    6. Volte para o Graph Explorer, altere o método de GET para PATCH, cole o seguinte conteúdo na seção Corpo da solicitação e clique em Executar consulta:

        {
    "appRoles": [
      {
        "allowedMemberTypes": [
          "User"
        ],
        "description": "msiam_access",
        "displayName": "msiam_access",
        "id": "41be2db8-48d9-4277-8e86-f6d22d35****",
        "isEnabled": true,
        "origin": "Application",
        "value": null
      },
      {
        "allowedMemberTypes": [
          "User"
        ],
        "description": "Admin,AzureADProd",
        "displayName": "Admin,AzureADProd",
        "id": "68adae10-8b6b-47e6-9142-6476078cdbce",
        "isEnabled": true,
        "origin": "ServicePrincipal",
        "value": "acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD"
      }
    ]
  }

      Nota

      O value é o ARNs do IdP e a função que você criou no console da RAM. Aqui, você pode adicionar várias funções conforme necessário. O Microsoft Entra ID enviará o valor dessas funções como o valor da declaração na resposta SAML. No entanto, você só pode adicionar novas funções após a parte para a msiam_access operação de patch. Para facilitar o processo de criação, recomendamos que você use um gerador de ID, como o GUID Generator, para gerar IDs em tempo real.

    7. Depois que a 'Entidade de serviço' for corrigida com a função necessária, anexe a função ao usuário do Microsoft Entra (u2) seguindo as etapas da seção Atribuir o usuário de teste do Microsoft Entra do tutorial.

Configurar o SSO do Alibaba Cloud Service (SSO baseado em função)

Para configurar o logon único no lado do Alibaba Cloud Service (SSO baseado em função), você precisa enviar o XML de metadados de federação baixado e URLs copiados apropriados da configuração do aplicativo para a equipe de suporte do Alibaba Cloud Service (SSO baseado em função). Eles definem essa configuração para que a conexão SAML SSO seja definida corretamente em ambos os lados.

Criar usuário de teste do Alibaba Cloud Service (SSO baseado em função)

Nesta seção, você cria um usuário chamado Brenda Fernandes no Alibaba Cloud Service (SSO baseado em função). Trabalhe com a equipe de suporte do Alibaba Cloud Service (SSO baseado em função) para adicionar os usuários na plataforma Alibaba Cloud Service (SSO baseado em função). Os usuários devem ser criados e ativados antes de usar o logon único.

SSO de teste

Depois que as configurações anteriores forem concluídas, teste o Alibaba Cloud Service (SSO baseado em função) seguindo estas etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>Alibaba Cloud Service (SSO baseado em função).

  3. Selecione Logon único e clique em Testar.

    Test config1

  4. Clique em Iniciar sessão como o utilizador atual.

    Test config2

  5. Na página de seleção de conta, selecione u2.

    Test config3

  6. A página a seguir é exibida, indicando que o SSO baseado em função foi bem-sucedido.

    Test config4

Próximos passos

Depois de configurar o Alibaba Cloud Service (SSO baseado em função), você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.