Samouczek: integracja logowania jednokrotnego (SSO) firmy Microsoft z usługą Alibaba Cloud Service (logowanie jednokrotne oparte na rolach)
Z tego samouczka dowiesz się, jak zintegrować usługę Alibaba Cloud Service (SSO opartą na rolach) z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu usługi Alibaba Cloud Service (logowania jednokrotnego opartego na rolach) z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:
- Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do usługi Alibaba Cloud Service (logowania jednokrotnego opartego na rolach).
- Zezwalaj swoim użytkownikom na automatyczne logowanie do usługi Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) przy użyciu kont Microsoft Entra.
- Zarządzaj kontami w jednej centralnej lokalizacji.
Wymagania wstępne
Do rozpoczęcia pracy potrzebne są następujące elementy:
- Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
- Subskrypcja aplikacji Alibaba Cloud Service (SSO) z obsługą logowania jednokrotnego opartego na rolach.
Opis scenariusza
W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.
- Usługa Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) obsługuje logowanie jednokrotne inicjowane przez dostawcę tożsamości
Dodawanie usługi Alibaba Cloud Service (logowania jednokrotnego opartego na rolach) z galerii
Aby skonfigurować integrację usługi Alibaba Cloud Service (SSO opartej na rolach) z identyfikatorem Entra firmy Microsoft, należy dodać usługę Alibaba Cloud Service (SSO opartą na rolach) z galerii do listy zarządzanych aplikacji SaaS.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
W sekcji Dodawanie z galerii wpisz Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) w polu wyszukiwania.
Wybierz pozycję Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.
Na stronie Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) kliknij pozycję Właściwości w okienku nawigacji po lewej stronie i skopiuj identyfikator obiektu i zapisz go na komputerze w celu późniejszego użycia.
Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.
Konfigurowanie i testowanie logowania jednokrotnego firmy Microsoft Entra dla usługi W chmurze Alibaba (logowanie jednokrotne oparte na rolach)
Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft z usługą Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem usługi Alibaba Cloud Service (logowanie jednokrotne oparte na rolach).
Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft z usługą Alibaba Cloud Service (logowanie jednokrotne oparte na rolach), wykonaj następujące kroki:
- Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
- Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z użytkownikiem Britta Simon.
- Przypisz użytkownika testowego aplikacji Microsoft Entra — aby umożliwić użytkownikowi Britta Simon korzystanie z logowania jednokrotnego firmy Microsoft Entra.
- Skonfiguruj logowanie jednokrotne oparte na rolach w usłudze Alibaba Cloud Service — aby umożliwić użytkownikom korzystanie z tej funkcji.
- Skonfiguruj logowanie jednokrotne usługi Alibaba Cloud Service (SSO oparte na rolach) — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
- Tworzenie użytkownika testowego aplikacji Alibaba Cloud Service (SSO opartego na rolach) — aby mieć w usłudze Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) odpowiednik użytkownika Britta Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
- Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.
Konfigurowanie logowania jednokrotnego firmy Microsoft
Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
Przejdź do aplikacji dla przedsiębiorstw Aplikacji>>dla>przedsiębiorstw Alibaba Cloud Service (SSO opartej na rolach)>Logowanie jednokrotne.
Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę edycji/pióra dla podstawowej konfiguracji protokołu SAML, aby edytować ustawienia.
W sekcji Podstawowa konfiguracja protokołu SAML, jeśli masz plik metadanych dostawcy usługi, wykonaj następujące kroki:
a. Kliknij pozycję Przekaż plik metadanych.
b. Kliknij logo folderu, aby wybrać plik metadanych, a następnie kliknij pozycję Przekaż.
Uwaga
c. Po pomyślnym przekazaniu pliku metadanych wartości Identyfikator i Adres URL odpowiedzi są automatycznie wypełniane w sekcji Alibaba Cloud Service (logowanie jednokrotne oparte na rolach):
Uwaga
Jeśli wartości Identyfikator i Adres URL odpowiedzi nie zostaną wypełnione automatycznie, wypełnij wartości ręcznie zgodnie z wymaganiami.
Usługa Alibaba Cloud Service (logowanie jednokrotne oparte na rolach) wymaga skonfigurowania ról w identyfikatorze Entra firmy Microsoft. Oświadczenie roli jest wstępnie skonfigurowane, więc nie musisz go konfigurować, ale nadal musisz utworzyć je w identyfikatorze Entra firmy Microsoft przy użyciu tego artykułu.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź plik XML metadanych federacji i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.
W sekcji Konfigurowanie usługi Alibaba Cloud Service (logowania jednokrotnego opartego na rolach) skopiuj odpowiednie adresy URL zgodnie z wymaganiami.
Tworzenie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
- Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
- Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
- We właściwościach użytkownika wykonaj następujące kroki:
- W polu Nazwa wyświetlana wprowadź wartość
B.Simon
. - W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład
B.Simon@contoso.com
. - Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
- Wybierz pozycję Przejrzyj i utwórz.
- W polu Nazwa wyświetlana wprowadź wartość
- Wybierz pozycję Utwórz.
Przypisywanie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji włączysz aplikację B.Simon, aby korzystać z logowania jednokrotnego, udzielając dostępu do usługi Alibaba Cloud Service (SSO opartej na rolach).
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
Przejdź do aplikacji>dla przedsiębiorstw Aplikacji>dla>przedsiębiorstw Alibaba Cloud Service (logowanie jednokrotne oparte na rolach).
Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie i wybierz pozycję Użytkownicy i grupy.
Wybierz pozycję Dodaj użytkownika, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
Na karcie Użytkownicy i grupy wybierz pozycję u2 z listy użytkowników, a następnie kliknij pozycję Wybierz. Następnie kliknij pozycję Przypisz.
Wyświetl przypisaną rolę i przetestuj usługę Alibaba Cloud Service (logowanie jednokrotne oparte na rolach).
Uwaga
Po przypisaniu użytkownika (u2) utworzona rola zostanie automatycznie dołączona do użytkownika. Jeśli utworzono wiele ról, musisz dołączyć odpowiednią rolę do użytkownika zgodnie z potrzebami. Jeśli chcesz zaimplementować logowanie jednokrotne oparte na rolach z identyfikatora Entra firmy Microsoft do wielu kont usługi Alibaba Cloud, powtórz powyższe kroki.
Konfigurowanie logowania jednokrotnego opartego na rolach w usłudze Alibaba Cloud Service
Zaloguj się do konsoli pamięci RAM chmury Alibaba przy użyciu konta 1.
W okienku nawigacji po lewej stronie wybierz pozycję Logowanie jednokrotne.
Na karcie Logowanie jednokrotne oparte na rolach kliknij pozycję Utwórz dostawcę tożsamości.
Na wyświetlonej stronie wprowadź
AAD
w polu Nazwa dostawcy tożsamości wprowadź opis w polu Uwaga , kliknij pozycję Przekaż , aby przekazać pobrany wcześniej plik metadanych federacji, a następnie kliknij przycisk OK.Po pomyślnym utworzeniu dostawcy tożsamości kliknij pozycję Utwórz rolę pamięci RAM.
W polu Nazwa roli pamięci RAM wprowadź ciąg
AADrole
, wybierzAAD
z listy rozwijanej Wybierz dostawcę tożsamości i kliknij przycisk OK.Uwaga
W razie potrzeby możesz udzielić uprawnień do roli. Po utworzeniu dostawcy tożsamości i odpowiedniej roli zalecamy zapisanie nazw ARN dostawcy tożsamości i roli do późniejszego użycia. Nazwy ARN można uzyskać na stronie informacji o dostawcy tożsamości i stronie informacji o roli.
Skojarz rolę pamięci RAM chmury Alibaba (AADrole) z użytkownikiem firmy Microsoft Entra (u2):
Aby skojarzyć rolę pamięci RAM z użytkownikiem firmy Microsoft Entra, musisz utworzyć rolę w identyfikatorze Entra firmy Microsoft, wykonując następujące kroki:
Kliknij pozycję Modyfikuj uprawnienia , aby uzyskać wymagane uprawnienia do tworzenia roli.
Wybierz następujące uprawnienia z listy i kliknij pozycję Modyfikuj uprawnienia, jak pokazano na poniższej ilustracji.
Uwaga
Po udzieleniu uprawnień zaloguj się ponownie do Eksploratora programu Graph.
Na stronie Eksplorator programu Graph wybierz pozycję GET z pierwszej listy rozwijanej i beta z drugiej listy rozwijanej. Następnie wprowadź
https://graph.microsoft.com/beta/servicePrincipals
w polu obok list rozwijanych, a następnie kliknij pozycję Uruchom zapytanie.Uwaga
Jeśli używasz wielu katalogów, możesz wprowadzić w
https://graph.microsoft.com/beta/contoso.com/servicePrincipals
polu zapytania.W sekcji Wersja zapoznawcza odpowiedzi wyodrębnij właściwość appRoles z jednostki usługi do późniejszego użycia.
Uwaga
Właściwość appRoles można zlokalizować, wprowadzając
https://graph.microsoft.com/beta/servicePrincipals/<objectID>
w polu zapytania. Zwróć uwagę, żeobjectID
jest to identyfikator obiektu skopiowany ze strony Właściwości identyfikatora entra firmy Microsoft.Wróć do Eksploratora programu Graph, zmień metodę z GET na PATCH, wklej następującą zawartość w sekcji Treść żądania, a następnie kliknij pozycję Uruchom zapytanie:
{ "appRoles": [ { "allowedMemberTypes": [ "User" ], "description": "msiam_access", "displayName": "msiam_access", "id": "41be2db8-48d9-4277-8e86-f6d22d35****", "isEnabled": true, "origin": "Application", "value": null }, { "allowedMemberTypes": [ "User" ], "description": "Admin,AzureADProd", "displayName": "Admin,AzureADProd", "id": "68adae10-8b6b-47e6-9142-6476078cdbce", "isEnabled": true, "origin": "ServicePrincipal", "value": "acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD" } ] }
Uwaga
Jest
value
to nazwy ARN dostawcy tożsamości i roli utworzonej w konsoli pamięci RAM. W tym miejscu możesz dodać wiele ról w razie potrzeby. Identyfikator Entra firmy Microsoft wyśle wartość tych ról jako wartość oświadczenia w odpowiedzi SAML. Można jednak dodawać nowe role tylko pomsiam_access
części operacji stosowania poprawek. Aby wygładzyć proces tworzenia, zalecamy użycie generatora identyfikatorów, takiego jak generator identyfikatorów GUID, do generowania identyfikatorów w czasie rzeczywistym.Po wprowadzeniu poprawki "Jednostka usługi" z wymaganą rolą dołącz rolę do użytkownika Microsoft Entra (u2), wykonując kroki sekcji Przypisywanie użytkownika testowego firmy Microsoft Entra w samouczku.
Konfigurowanie logowania jednokrotnego w usłudze Alibaba Cloud Service (SSO opartego na rolach)
Aby skonfigurować logowanie jednokrotne po stronie usługi Alibaba Cloud Service (SSO opartej na rolach), musisz wysłać pobrany kod XML metadanych federacji i odpowiednie adresy URL skopiowane z konfiguracji aplikacji do zespołu pomocy technicznej usługi Alibaba Cloud Service (SSO opartego na rolach). Ustawią oni to ustawienie tak, aby połączenie logowania jednokrotnego SAML było ustawione właściwie po obu stronach.
Tworzenie użytkownika testowego aplikacji Alibaba Cloud Service (SSO opartego na rolach)
W tej sekcji utworzysz użytkownika Britta Simon w usłudze Alibaba Cloud Service (logowanie jednokrotne oparte na rolach). We współpracy z zespołem pomocy technicznej aplikacji Alibaba Cloud Service (SSO opartym na rolach) dodaj użytkowników na platformie usługi Alibaba Cloud Service (SSO opartej na rolach). Użytkownicy muszą być utworzeni i aktywowani przed rozpoczęciem korzystania z logowania jednokrotnego.
Testowanie logowania jednokrotnego
Po zakończeniu poprzednich konfiguracji przetestuj usługę Alibaba Cloud Service (logowanie jednokrotne oparte na rolach), wykonując następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
Przejdź do aplikacji>dla przedsiębiorstw Aplikacji>dla>przedsiębiorstw Alibaba Cloud Service (logowanie jednokrotne oparte na rolach).
Wybierz pozycję Logowanie jednokrotne, a następnie kliknij pozycję Testuj.
Kliknij pozycję Zaloguj się jako bieżący użytkownik.
Na stronie wyboru konta wybierz pozycję u2.
Zostanie wyświetlona następująca strona wskazująca, że logowanie jednokrotne oparte na rolach zakończyło się pomyślnie.
Następne kroki
Po skonfigurowaniu usługi Alibaba Cloud Service (logowania jednokrotnego opartego na rolach) możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.