Udostępnij przez

Konfigurowanie usługi Alibaba Cloud (SSO oparte na rolach) do jednokrotnego logowania przy użyciu Microsoft Entra ID

Z tego artykułu dowiesz się, jak zintegrować usługę Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu usługi Alibaba Cloud Service (logowania jednokrotnego opartego na rolach) z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

  • Kontroluj, kto ma dostęp do usługi Alibaba Cloud Service w Microsoft Entra ID (SSO oparte na rolach).
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do usługi Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Warunki wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

  • Subskrypcja Alibaba Cloud Service z możliwością logowania jednokrotnego opartego na rolach (SSO).

Opis scenariusza

W artykule skonfigurujesz i przetestujesz Microsoft Entra SSO w środowisku testowym.

  • Usługa Alibaba Cloud Service (SSO oparte na rolach) wspiera SSO inicjowane przez IDP

Aby skonfigurować integrację usługi Alibaba Cloud Service (SSO opartej na rolach) z identyfikatorem Entra firmy Microsoft, należy dodać usługę Alibaba Cloud Service (SSO opartą na rolach) z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Entra ID>Enterprise apps>New application.

  3. W sekcji Dodawanie z galerii wpisz Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) w polu wyszukiwania.

  4. Wybierz pozycję Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do dzierżawy.

  5. Na stronie Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) wybierz pozycję Właściwości w okienku nawigacji po lewej stronie i skopiuj identyfikator obiektu i zapisz go na komputerze do późniejszego użycia.

    Konfiguracja właściwości

Alternatywnie możesz użyć Kreatora konfiguracji aplikacji Enterprise . W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o kreatorach Microsoft 365.

Konfiguracja i testowanie logowania jednokrotnego Microsoft Entra dla Alibaba Cloud (logowanie jednokrotne oparte na rolach)

Skonfiguruj i przetestuj Microsoft Entra SSO z usługą Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) przy użyciu testowego użytkownika o nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem usługi Alibaba Cloud Service (logowanie jednokrotne oparte na rolach).

Aby skonfigurować i przetestować Microsoft Entra logowanie jednokrotne z usługą Alibaba Cloud Service (SSO oparte na rolach), wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotnego uwierzytelniania Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Utwórz testowego użytkownika Microsoft Entra — aby przetestować jednokrotne logowanie do Microsoft Entra z Brittą Simon.
    2. Przypisz testowego użytkownika Microsoft Entra — aby umożliwić Britcie Simon korzystanie z logowania jednokrotnego Microsoft Entra.
  2. Skonfiguruj Role-Based Single Sign-On w usłudze Alibaba Cloud — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Konfigurowanie logowania jednokrotnego usługi Alibaba Cloud Service (SSO opartego na rolach) — w celu skonfigurowania ustawień jednokrotnego Sign-On po stronie aplikacji.
    2. Twórz użytkownika testowego w aplikacji Alibaba Cloud Service (SSO oparte na rolach) — w celu posiadania odpowiednika Britta Simon w Alibaba Cloud Service (SSO oparte na rolach), który jest połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie Microsoft Entra SSO

Aby włączyć logowanie jednokrotne Microsoft Entra, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Entra ID>Enterprise apps>Alibaba Cloud Service (Role-based SSO)>Single sign-on.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę edycji/pióra dla pozycji Podstawowa konfiguracja protokołu SAML , aby edytować ustawienia.

    Edytowanie podstawowej konfiguracji protokołu SAML

  5. Jeśli masz plik metadanych dostawcy usług, w sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

    a. Wybierz pozycję Przekaż plik metadanych.

    b. Wybierz logo folderu , aby wybrać plik metadanych, a następnie wybierz pozycję Przekaż.

    Notatka

    1. W przypadku międzynarodowej strony Alibaba Cloud pobierz metadane dostawcy usług z tego linku .
    2. W przypadku witryny usługi W chmurze Alibaba (CN) pobierz metadane dostawcy usług z tego linku.

    c. Po pomyślnym przekazaniu pliku metadanych wartości identyfikatora i adresu URL odpowiedzi są automatycznie wypełniane w polu tekstowym sekcji Alibaba Cloud Service (logowanie jednokrotne oparte na rolach).

    Notatka

    Jeśli wartości Identyfikator i Adres URL odpowiedzi nie zostaną wypełnione automatycznie, wypełnij wartości ręcznie zgodnie z wymaganiami.

  6. Usługa Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) wymaga skonfigurowania ról w identyfikatorze Entra firmy Microsoft. Oświadczenie dotyczące roli jest wstępnie skonfigurowane, więc nie musisz go konfigurować, ale nadal musisz je utworzyć w Microsoft Entra ID, korzystając z tego artykułu .

  7. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź plik XML metadanych federacji i wybierz pozycję Pobierz , aby pobrać certyfikat i zapisać go na komputerze.

    Link pobierania certyfikatu

  8. W sekcji Konfigurowanie usługi Alibaba Cloud Service (logowania jednokrotnego opartego na rolach) skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Kopiowanie adresów URL konfiguracji

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku "Szybki start: tworzenie i przypisywanie konta użytkownika" , aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfiguracja Role-Based pojedynczego Sign-On w usłudze chmurze Alibaba

  1. Zaloguj się do konsoli pamięci RAM chmury Alibaba przy użyciu konta 1.

  2. W okienku nawigacji po lewej stronie wybierz pozycję Logowanie jednokrotne.

  3. Na karcie Logowanie jednokrotne oparte na rolach wybierz pozycję Utwórz IdP.

  4. Na wyświetlonej stronie wprowadź AAD w polu Nazwa dostawcy tożsamości, wprowadź opis w polu Uwaga, wybierz pozycję Przekaż, aby przekazać pobrany wcześniej plik metadanych federacji, a następnie wybierz OK.

  5. Po pomyślnym utworzeniu IdP wybierz pozycję Utwórz rolę RAM.

  6. W polu Nazwa roli pamięci RAM wprowadź AADrole, z listy rozwijanej AAD wybierz i wybierz OK.

    Notatka

    W razie potrzeby możesz przyznać roli uprawnienia. Po utworzeniu dostawcy tożsamości i odpowiedniej roli zalecamy zapisanie ARN dostawcy tożsamości i roli do późniejszego użycia. Identyfikatory ARN można uzyskać na stronie informacji o dostawcy tożsamości (IdP) oraz na stronie informacji o roli.

  7. Skojarz rolę pamięci RAM chmury Alibaba (AADrole) z użytkownikiem firmy Microsoft Entra (u2):

    Aby skojarzyć rolę pamięci RAM z użytkownikiem firmy Microsoft Entra, musisz utworzyć rolę w identyfikatorze Entra firmy Microsoft, wykonując następujące kroki:

    1. Zaloguj się do Eksploratora programu Microsoft Graph.

    2. Wybierz pozycję Modyfikuj uprawnienia , aby uzyskać wymagane uprawnienia do tworzenia roli.

      Config1 programu Graph

    3. Wybierz następujące uprawnienia z listy i wybierz pozycję Modyfikuj uprawnienia, jak pokazano na poniższej ilustracji.

      Konfiguracja programu Graph 2

      Notatka

      Po udzieleniu uprawnień zaloguj się ponownie do Eksploratora programu Graph.

    4. Na stronie Eksplorator programu Graph wybierz pozycję GET z pierwszej listy rozwijanej i beta z drugiej listy rozwijanej. Następnie wprowadź https://graph.microsoft.com/beta/servicePrincipals w polu obok list rozwijanych, a następnie wybierz pozycję Uruchom zapytanie.

      Config3 programu Graph

      Notatka

      Jeśli używasz wielu katalogów, możesz wprowadzić https://graph.microsoft.com/beta/contoso.com/servicePrincipals w polu zapytania.

    5. W sekcji Podgląd odpowiedzi wyodrębnij właściwość appRoles z 'Głównej usługi' do późniejszego użycia.

      Konfiguracja Graph4

      Notatka

      Właściwość appRoles można zlokalizować, wprowadzając https://graph.microsoft.com/beta/servicePrincipals/<objectID> w polu zapytania. Należy pamiętać, że objectID jest identyfikatorem obiektu, który został skopiowany ze strony właściwości Microsoft Entra ID .

    6. Wróć do Eksploratora programu Graph, zmień metodę z GET na PATCH, wklej następującą zawartość do sekcji Treść żądania i wybierz pozycję Uruchom zapytanie:

        {
    "appRoles": [
      {
        "allowedMemberTypes": [
          "User"
        ],
        "description": "msiam_access",
        "displayName": "msiam_access",
        "id": "41be2db8-48d9-4277-8e86-f6d22d35****",
        "isEnabled": true,
        "origin": "Application",
        "value": null
      },
      {
        "allowedMemberTypes": [
          "User"
        ],
        "description": "Admin,AzureADProd",
        "displayName": "Admin,AzureADProd",
        "id": "68adae10-8b6b-47e6-9142-6476078cdbce",
        "isEnabled": true,
        "origin": "ServicePrincipal",
        "value": "acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD"
      }
    ]
  }

      Notatka

      value to ARNy dostawcy tożsamości (IdP) oraz roli, którą utworzyłeś w konsoli RAM. W tym miejscu możesz dodać wiele ról w razie potrzeby. Identyfikator Entra firmy Microsoft wysyła wartość tych ról jako wartość oświadczenia w odpowiedzi SAML. Można jednak dodawać nowe role tylko po części msiam_access dla operacji aktualizacji. Aby wygładzyć proces tworzenia, zalecamy użycie generatora identyfikatorów, takiego jak generator identyfikatorów GUID, do generowania identyfikatorów w czasie rzeczywistym.

    7. Po zaktualizowaniu głównego obiektu zabezpieczeń wymaganą rolą, przypisz tę rolę użytkownikowi Microsoft Entra (u2), postępując według kroków w sekcji Przypisywanie użytkownika testowego firmy Microsoft Entra artykułu.

Konfigurowanie logowania jednokrotnego (SSO) opartego na rolach w usłudze Alibaba Cloud Service

Aby skonfigurować jednokrotne logowanie po stronie Alibaba Cloud Service (SSO oparte na rolach), musisz wysłać pobrany plik XML z metadanymi federacji i odpowiednie adresy URL skopiowane z konfiguracji aplikacji do zespołu pomocy technicznej Alibaba Cloud Service (SSO opartego na rolach). Aby połączenie jednokrotnego logowania SAML było prawidłowo skonfigurowane po obu stronach, wprowadzają odpowiednie ustawienia.

Tworzenie użytkownika testowego aplikacji Alibaba Cloud Service (SSO opartego na rolach)

W tej sekcji utworzysz użytkownika Britta Simon w usłudze Alibaba Cloud Service (logowanie jednokrotne oparte na rolach). We współpracuj z zespołem pomocy technicznej Alibaba Cloud Service (SSO opartym na rolach), aby dodać użytkowników na platformie Alibaba Cloud Service (SSO opartej na rolach). Przed użyciem logowania jednokrotnego należy utworzyć i aktywować użytkowników.

Testowanie logowania jednokrotnego

Po zakończeniu poprzednich konfiguracji przetestuj usługę Alibaba Cloud Service (logowanie jednokrotne oparte na rolach), wykonując następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do witryny Entra ID>Enterprise Apps>Alibaba Cloud Service (logowanie jednokrotne oparte na rolach).

  3. Wybierz pozycję Logowanie jednokrotne i wybierz pozycję Testuj.

    Test konfiguracji 1

  4. Wybierz pozycję Zaloguj się jako bieżący użytkownik.

    Testowanie konfiguracji 2

  5. Na stronie wyboru konta wybierz pozycję u2.

    Testowanie konfiguracji 3

  6. Następująca strona zostanie wyświetlona, wskazując, że logowanie jednokrotne (SSO) oparte na rolach zakończyło się pomyślnie.

    Konfiguracja testowa 4

Powiązana zawartość

Po skonfigurowaniu usługi Alibaba Cloud Service (logowania jednokrotnego opartego na rolach) możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.

  • Last updated on