Partilhar via

Configurar o serviço Alibaba Cloud (SSO com base em funções) para início de sessão único com Microsoft Entra ID

Neste artigo, você aprenderá a integrar o Alibaba Cloud Service (SSO baseado em função) com o Microsoft Entra ID. Ao integrar o Alibaba Cloud Service (SSO baseado em função) com o Microsoft Entra ID, você pode:

  • Controlo no Microsoft Entra ID quem tem acesso ao Alibaba Cloud Service (SSO baseado em funções).
  • Permita que seus usuários sejam automaticamente conectados ao Alibaba Cloud Service (SSO baseado em função) com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

  • Assinatura habilitada para logon único (SSO) do Alibaba Cloud Service (SSO baseado em funções).

Descrição do cenário

Neste artigo, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

  • O Alibaba Cloud Service (SSO baseado em função) suporta SSO iniciado por IDP

Para configurar a integração do Alibaba Cloud Service (SSO baseado em função) no Microsoft Entra ID, você precisa adicionar o Alibaba Cloud Service (SSO baseado em função) da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Entra ID>Enterprise apps>Novo aplicativo.

  3. Na seção Adicionar da galeria , digite Alibaba Cloud Service (SSO baseado em função) na caixa de pesquisa.

  4. Selecione Alibaba Cloud Service (SSO baseado em função) no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

  5. Na página Alibaba Cloud Service (SSO baseado em função), selecione Propriedades no painel de navegação do lado esquerdo, copie o ID do objeto e salve-o em seu computador para uso subsequente.

    Configuração de propriedades

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente de configuração, pode adicionar uma aplicação ao seu tenant, adicionar utilizadores/grupos à aplicação, atribuir funções e também configurar o SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para Alibaba Cloud Service (SSO baseado em função)

Configure e teste o Microsoft Entra SSO com o Alibaba Cloud Service (SSO baseado em função) usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Alibaba Cloud Service (SSO baseado em função).

Para configurar e testar o Microsoft Entra SSO com o Alibaba Cloud Service (SSO baseado em função), execute as seguintes etapas:

  1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
    1. Criar um utilizador de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com Britta Simon.
    2. Atribua o utilizador de teste do Microsoft Entra - para permitir que Britta Simon use o logon único do Microsoft Entra.
  2. Configure o Role-Based único Sign-On no Alibaba Cloud Service - para permitir que os seus utilizadores usem esta funcionalidade.
    1. Configure o Alibaba Cloud Service (SSO baseado em função) SSO - para configurar as configurações de Sign-On único no lado do aplicativo.
    2. Crie um utilizador de teste no Alibaba Cloud Service (SSO baseado em função) - para ter um equivalente de Britta Simon no Alibaba Cloud Service (SSO baseado em função) associado à representação de utilizador do Microsoft Entra.
  3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Entra ID>Enterprise apps>Alibaba Cloud Service (SSO baseado em função)>Single sign-on.

  3. Na página Selecione um método de logon único , selecione SAML.

  4. Na página Configurar logon único com SAML , selecione o ícone de edição/caneta para Configuração Básica de SAML para editar as configurações.

    Editar configuração básica de SAML

  5. Na seção de Configuração Básica do SAML, se tiveres o arquivo de metadados do provedor de serviços , executa os seguintes passos:

    a) Selecione Carregar arquivo de metadados.

    b) Selecione o logotipo da pasta para selecionar o arquivo de metadados e selecione Carregar.

    Observação

    1. Para o Site Internacional do Alibaba Cloud, faça o download dos metadados do Provedor de Serviços neste link.
    2. Para o site do Alibaba Cloud Service CN, faça o download dos metadados do provedor de serviços através deste link.

    c. Depois de o ficheiro de metadados ser carregado com sucesso, os valores do Identificador e do URL de resposta são preenchidos automaticamente na caixa de texto da secção Alibaba Cloud Service (SSO baseado em funções):

    Observação

    Se os valores do Identificador e do URL de Resposta não forem preenchidos automaticamente, preencha-os manualmente de acordo com a sua necessidade.

  6. O Alibaba Cloud Service (SSO baseado em função) exige que as funções sejam configuradas no Microsoft Entra ID. A declaração de função é pré-configurada para que você não precise configurá-la, mas ainda precisa criá-la no Microsoft Entra ID usando este artigo.

  7. Na página Configurar logon único com SAML, na secção Certificado de Assinatura SAML, localize XML de Metadados de Federação e selecione Transferir para transferir o certificado e salvá-lo no seu computador.

    O link de download do certificado

  8. Na secção Configurar o Alibaba Cloud Service (SSO baseado em função), copie os URL(s) apropriados com base nas suas necessidades.

    Copiar URLs de configuração

Criar e atribuir usuário de teste do Microsoft Entra

Siga as diretrizes no início rápido de criar e atribuir uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Configurar Role-Based Único Sign-On no Serviço Alibaba Cloud

  1. Faça login no console Alibaba Cloud RAM usando Account1.

  2. No painel de navegação esquerdo, selecione SSO.

  3. Na aba SSO baseado em função , selecione Criar IdP .

  4. Na página exibida, insira AAD o campo Nome do IdP, insira uma descrição no campo Nota, selecione Carregar para carregar o arquivo de metadados de federação que você baixou antes e selecione OK.

  5. Depois que o IdP for criado com êxito, selecione Criar função RAM.

  6. No campo Nome da função RAM , digite AADrole, selecione AAD na lista suspensa Selecionar IdP e selecione OK.

    Observação

    Você pode conceder permissão para a função conforme necessário. Depois de criar o IdP e a função correspondente, recomendamos que você salve os ARNs do IdP e a função para uso subsequente. Você pode obter os ARNs na página de informações do IdP e na página de informações da função.

  7. Associe a função Alibaba Cloud RAM (AADrole) ao utilizador do Microsoft Entra (u2):

    Para associar a função RAM ao usuário do Microsoft Entra, você deve criar uma função na ID do Microsoft Entra seguindo estas etapas:

    1. Entre no Microsoft Graph Explorer.

    2. Selecione modificar permissões para obter as permissões necessárias para criar uma função.

      Configuração do gráfico1

    3. Selecione as seguintes permissões na lista e selecione Modificar permissões, conforme mostrado na figura a seguir.

      Configuração do gráfico2

      Observação

      Depois que as permissões forem concedidas, entre no Graph Explorer novamente.

    4. Na página Graph Explorer, selecione GET na primeira lista suspensa e beta na segunda lista suspensa. Em seguida, insira https://graph.microsoft.com/beta/servicePrincipals no campo ao lado das listas suspensas e selecione Executar consulta.

      Configuração do gráfico3

      Observação

      Se você estiver usando vários diretórios, poderá inserir https://graph.microsoft.com/beta/contoso.com/servicePrincipals no campo da consulta.

    5. Na seção Pré-visualização da Resposta, extraia a propriedade appRoles do 'Service Principal' para uso subsequente.

      Configuração do gráfico 4

      Observação

      Você pode localizar a propriedade appRoles inserindo https://graph.microsoft.com/beta/servicePrincipals/<objectID> no campo da consulta. Observe que o objectID é o ID do objeto que você copiou da página Propriedades do ID do Microsoft Entra.

    6. Volte para o Graph Explorer, altere o método de GET para PATCH, cole o seguinte conteúdo na seção Corpo da solicitação e selecione Executar consulta:

        {
    "appRoles": [
      {
        "allowedMemberTypes": [
          "User"
        ],
        "description": "msiam_access",
        "displayName": "msiam_access",
        "id": "41be2db8-48d9-4277-8e86-f6d22d35****",
        "isEnabled": true,
        "origin": "Application",
        "value": null
      },
      {
        "allowedMemberTypes": [
          "User"
        ],
        "description": "Admin,AzureADProd",
        "displayName": "Admin,AzureADProd",
        "id": "68adae10-8b6b-47e6-9142-6476078cdbce",
        "isEnabled": true,
        "origin": "ServicePrincipal",
        "value": "acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD"
      }
    ]
  }

      Observação

      O value é os ARNs do IdP e a função que criaste no console da RAM. Aqui, você pode adicionar várias funções conforme necessário. O Microsoft Entra ID envia o valor destes roles como o valor da reivindicação na resposta SAML. No entanto, você só pode adicionar novas funções após a parte msiam_access para a operação de atualização. Para facilitar o processo de criação, recomendamos que você use um gerador de ID, como o Gerador de GUID, para gerar IDs em tempo real.

    7. Depois que a 'Entidade de serviço' for atualizada com a função necessária, associe essa função ao utilizador do Microsoft Entra (u2) seguindo as etapas da seção Atribuir o utilizador de teste do Microsoft Entra do artigo.

Configurar o SSO do Alibaba Cloud Service (SSO baseado em funções)

Para configurar a autenticação única no lado do Alibaba Cloud Service (SSO baseado em função), precisa enviar o XML de metadados de federação baixado e os URLs apropriados copiados da configuração do aplicativo para a equipa de suporte do Alibaba Cloud Service (SSO baseado em função). Eles definem essa configuração para ter a conexão SAML SSO definida corretamente em ambos os lados.

Criar utilizador de teste do Alibaba Cloud Service (SSO baseado em funções)

Nesta seção, cria-se um utilizador chamado Britta Simon no Alibaba Cloud Service (SSO baseado em funções). Trabalhe com a equipe de suporte do Alibaba Cloud Service (SSO baseado em função) para adicionar os usuários na plataforma Alibaba Cloud Service (SSO baseado em função). Os usuários devem ser criados e ativados antes de usar o logon único.

Teste de SSO

Depois que as configurações anteriores forem concluídas, teste o Alibaba Cloud Service (SSO baseado em função) seguindo estas etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Entra ID>Aplicações empresariais>Alibaba Cloud Service (SSO baseado em função).

  3. Selecione de logon único e selecione de teste .

    Configuração de teste1

  4. Selecione Entrar como usuário atual.

    Configuração de teste2

  5. Na página de seleção de conta, selecione u2.

    Configuração de teste3

  6. A página a seguir é exibida, indicando que o SSO baseado em função foi bem-sucedido.

    Configuração de teste4

Conteúdo relacionado

Depois de configurar o Alibaba Cloud Service (SSO baseado em função), você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.

  • Last updated on