Esercitazione: Integrazione dell'accesso Single Sign-On (SSO) di Azure Active Directory con Alibaba Cloud Service (Role-based SSO)Tutorial: Azure Active Directory single sign-on (SSO) integration with Alibaba Cloud Service (Role-based SSO)

Questa esercitazione descrive come integrare Alibaba Cloud Service (Role-based SSO) con Azure Active Directory (Azure AD).In this tutorial, you'll learn how to integrate Alibaba Cloud Service (Role-based SSO) with Azure Active Directory (Azure AD). Integrando Alibaba Cloud Service (Role-based SSO) con Azure AD, è possibile:When you integrate Alibaba Cloud Service (Role-based SSO) with Azure AD, you can:

  • Controllare in Azure AD chi può accedere ad Alibaba Cloud Service (Role-based SSO).Control in Azure AD who has access to Alibaba Cloud Service (Role-based SSO).
  • Abilitare gli utenti per l'accesso automatico a ad Alibaba Cloud Service (Role-based SSO) con gli account Azure AD personali.Enable your users to be automatically signed-in to Alibaba Cloud Service (Role-based SSO) with their Azure AD accounts.
  • Gestire gli account in un'unica posizione centrale: il portale di Azure.Manage your accounts in one central location - the Azure portal.

Per altre informazioni sull'integrazione di app SaaS con Azure AD, vedere Accesso Single Sign-On alle applicazioni in Azure Active Directory.To learn more about SaaS app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory.

PrerequisitiPrerequisites

Per iniziare, sono necessari gli elementi seguenti:To get started, you need the following items:

  • Una sottoscrizione di Azure AD.An Azure AD subscription. Se non si ha una sottoscrizione, è possibile ottenere un account gratuito.If you don't have a subscription, you can get a free account.
  • Sottoscrizione di Alibaba Cloud Service (Role-based SSO) abilitata per l'accesso Single Sign-On (SSO).Alibaba Cloud Service (Role-based SSO) single sign-on (SSO) enabled subscription.

Descrizione dello scenarioScenario description

In questa esercitazione vengono eseguiti la configurazione e il test dell'accesso Single Sign-On di Azure AD in un ambiente di test.In this tutorial, you configure and test Azure AD SSO in a test environment.

  • Alibaba Cloud Service (Role-based SSO) supporta l'accesso SSO avviato da IDPAlibaba Cloud Service (Role-based SSO) supports IDP initiated SSO

Per configurare l'integrazione di Alibaba Cloud Service (Role-based SSO) in Azure AD, è necessario aggiungere Alibaba Cloud Service (Role-based SSO) dalla raccolta all'elenco di app SaaS gestite.To configure the integration of Alibaba Cloud Service (Role-based SSO) into Azure AD, you need to add Alibaba Cloud Service (Role-based SSO) from the gallery to your list of managed SaaS apps.

  1. Accedere al portale di Azure con un account aziendale o dell'istituto di istruzione oppure con un account Microsoft personale.Sign in to the Azure portal using either a work or school account, or a personal Microsoft account.

  2. Nel riquadro di spostamento a sinistra selezionare il servizio Azure Active Directory.On the left navigation pane, select the Azure Active Directory service.

  3. Passare ad Applicazioni aziendali e quindi selezionare Tutte le applicazioni.Navigate to Enterprise Applications and then select All Applications.

  4. Per aggiungere una nuova applicazione, selezionare Nuova applicazione.To add new application, select New application.

  5. Nella sezione Aggiungi dalla raccolta digitare Alibaba Cloud Service (Role-based SSO) nella casella di ricerca.In the Add from the gallery section, type Alibaba Cloud Service (Role-based SSO) in the search box.

  6. Selezionare Alibaba Cloud Service (Role-based SSO) nel pannello dei risultati e quindi aggiungere l'app.Select Alibaba Cloud Service (Role-based SSO) from results panel and then add the app. Attendere alcuni secondi che l'app venga aggiunta al tenant.Wait a few seconds while the app is added to your tenant.

  7. Nella pagina Alibaba Cloud Service (Role-based SSO) fare clic su Proprietà nel riquadro di spostamento a sinistra, copiare l'ID oggetto e salvarlo nel computer per usarlo in seguito.On the Alibaba Cloud Service (Role-based SSO) page, click Properties in the left-side navigation pane, and copy the object ID and save it on your computer for subsequent use.

    Configurazione delle proprietà

Configurare e testare l'accesso Single Sign-On di Azure AD per Alibaba Cloud Service (Role-based SSO)Configure and test Azure AD single sign-on for Alibaba Cloud Service (Role-based SSO)

Configurare e testare l'accesso SSO di Azure AD con Alibaba Cloud Service (Role-based SSO) usando un utente di test di nome B.Simon.Configure and test Azure AD SSO with Alibaba Cloud Service (Role-based SSO) using a test user called B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Azure AD e l'utente correlato in Alibaba Cloud Service (Role-based SSO).For SSO to work, you need to establish a link relationship between an Azure AD user and the related user in Alibaba Cloud Service (Role-based SSO).

Per configurare e testare l'accesso SSO di Azure AD con Alibaba Cloud Service (Role-based SSO), completare le procedure di base seguenti:To configure and test Azure AD SSO with Alibaba Cloud Service (Role-based SSO), complete the following building blocks:

  1. Configurare l'accesso Single Sign-On di Azure AD : per consentire agli utenti di usare questa funzionalità.Configure Azure AD SSO - to enable your users to use this feature.
    1. Creare un utente di test di Azure AD : per testare l'accesso Single Sign-On di Azure AD con l'utente Britta Simon.Create an Azure AD test user - to test Azure AD single sign-on with Britta Simon.
    2. Assegnare l'utente di test di Azure AD : per abilitare Britta Simon all'uso dell'accesso Single Sign-On di Azure AD.Assign the Azure AD test user - to enable Britta Simon to use Azure AD single sign-on.
  2. Configurare l'accesso Single Sign-On in base al ruolo in Alibaba Cloud Service : per consentire agli utenti di usare questa funzionalità.Configure Role-Based Single Sign-On in Alibaba Cloud Service - to enable your users to use this feature.
    1. Configurare l'accesso Single Sign-On di Alibaba Cloud Service (Role-based SSO) : per configurare le impostazioni di Single Sign-On sul lato applicazione.Configure Alibaba Cloud Service (Role-based SSO) SSO - to configure the Single Sign-On settings on application side.
    2. Creare l'utente di test di Alibaba Cloud Service (Role-based SSO) : per avere una controparte di Britta Simon in Alibaba Cloud Service (Role-based SSO) collegata alla rappresentazione dell'utente in Azure AD.Create Alibaba Cloud Service (Role-based SSO) test user - to have a counterpart of Britta Simon in Alibaba Cloud Service (Role-based SSO) that is linked to the Azure AD representation of user.
  3. Testare l'accesso Single Sign-On : per verificare se la configurazione funziona.Test single SSO - to verify whether the configuration works.

Configurare l'accesso SSO di Azure ADConfigure Azure AD SSO

Per abilitare l'accesso Single Sign-On di Azure AD nel portale di Azure, seguire questa procedura.Follow these steps to enable Azure AD SSO in the Azure portal.

  1. Nella pagina di integrazione dell'applicazione Alibaba Cloud Service (Role-based SSO) del portale di Azure individuare la sezione Gestione e selezionare Single Sign-On.In the Azure portal, on the Alibaba Cloud Service (Role-based SSO) application integration page, find the Manage section and select single sign-on.

  2. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.On the Select a single sign-on method page, select SAML.

  3. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona Modifica (la penna) relativa a Configurazione SAML di base per modificare le impostazioni.On the Set up single sign-on with SAML page, click the edit/pen icon for Basic SAML Configuration to edit the settings.

    Modificare la configurazione SAML di base

  4. Nella sezione Configurazione SAML di base, se si dispone di un file di metadati di un provider di servizi, seguire questa procedura:On the Basic SAML Configuration section, if you have Service Provider metadata file, perform the following steps:

    Nota

    Si otterranno i metadati del provider di servizi da questo URLYou will get the Service Provider metadata from this URL

    a.a. Fare clic su Carica il file di metadati.Click Upload metadata file.

    b.b. Fare clic su logo cartella per selezionare il file di metadati e fare quindi clic su Upload.Click on folder logo to select the metadata file and click Upload.

    c.c. Al termine del caricamento del file di metadati, i valori di Identificatore e URL di risposta vengono inseriti automaticamente nella casella di testo della sezione di Alibaba Cloud Service (Role-based SSO):Once the metadata file is successfully uploaded, the Identifier and Reply URL values get auto populated in Alibaba Cloud Service (Role-based SSO) section textbox:

    Nota

    Se i valori di Identificatore e URL di risposta non vengono popolati automaticamente, inserirli manualmente in base alle proprie esigenze.If the Identifier and Reply URL values do not get auto populated, then fill in the values manually according to your requirement.

  5. Con Alibaba Cloud Service (Role-based SSO) è necessario configurare i ruoli in Azure AD.Alibaba Cloud Service (Role-based SSO) require roles to be configured in Azure AD. Le attestazioni di ruolo sono preconfigurate, quindi non è necessario configurarle, ma è comunque necessario crearle in Azure AD usando le informazioni incluse in questo articolo.The role claim is pre-configured so you don't have to configure it but you still need to create them in Azure AD using this article.

  6. Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML individuare il file XML dei metadati della federazione e selezionare Scarica per scaricare il certificato e salvarlo nel computer.On the Set up single sign-on with SAML page, in the SAML Signing Certificate section, find Federation Metadata XML and select Download to download the certificate and save it on your computer.

    Collegamento di download del certificato

  7. Nella sezione Configura Alibaba Cloud Service (Role-based SSO) copiare gli URL appropriati in base alle esigenze.On the Set up Alibaba Cloud Service (Role-based SSO) section, copy the appropriate URL(s) based on your requirement.

    Copiare gli URL di configurazione

Creare un utente di test di Azure ADCreate an Azure AD test user

In questa sezione verrà creato un utente di test di nome B.Simon nel portale di Azure.In this section, you'll create a test user in the Azure portal called B.Simon.

  1. Nel riquadro sinistro del portale di Azure selezionare Azure Active Directory, Utenti e quindi Tutti gli utenti.From the left pane in the Azure portal, select Azure Active Directory, select Users, and then select All users.
  2. Selezionare Nuovo utente in alto nella schermata.Select New user at the top of the screen.
  3. In Proprietà utente seguire questa procedura:In the User properties, follow these steps:
    1. Nel campo Nome immettere B.Simon.In the Name field, enter B.Simon.
    2. Nel campo Nome utente immettere username@companydomain.extension.In the User name field, enter the username@companydomain.extension. Ad esempio: B.Simon@contoso.com.For example, B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.Select the Show password check box, and then write down the value that's displayed in the Password box.
    4. Fare clic su Crea.Click Create.

Assegnare l'utente di test di Azure ADAssign the Azure AD test user

In questa sezione si abiliterà B.Simon all'uso dell'accesso Single Sign-On di Azure concedendole l'accesso ad Alibaba Cloud Service (Role-based SSO).In this section, you'll enable B.Simon to use Azure single sign-on by granting access to Alibaba Cloud Service (Role-based SSO).

  1. Nel portale di Azure selezionare Applicazioni aziendali e quindi Tutte le applicazioni.In the Azure portal, select Enterprise Applications, and then select All applications.

  2. Nell'elenco delle applicazioni selezionare Alibaba Cloud Service (Role-based SSO) .In the applications list, select Alibaba Cloud Service (Role-based SSO).

  3. Nella pagina di panoramica dell'app trovare la sezione Gestione e selezionare Utenti e gruppi.In the app's overview page, find the Manage section and select Users and groups.

    Collegamento "Utenti e gruppi"

  4. Selezionare Aggiungi utente e quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.Select Add user, then select Users and groups in the Add Assignment dialog.

    Collegamento Aggiungi utente

  5. Nella scheda Utenti e gruppi selezionare u2 dall'elenco di utenti e fare clic su Seleziona.On the Users and groups tab, select u2 from the user list, and click Select. Fare quindi clic su Assegna.Then, click Assign.

    Configurazione di test

  6. Visualizzare il ruolo assegnato e testare Alibaba Cloud Service (Role-based SSO).View the assigned role and test Alibaba Cloud Service (Role-based SSO).

    Configurazione di test

    Nota

    Dopo aver assegnato l'utente (u2), il ruolo creato viene collegato automaticamente all'utente.After you assign the user (u2), the created role is automatically attached to the user. Se sono stati creati più ruoli, è necessario collegare il ruolo appropriato all'utente in base alle esigenze.If you have created multiple roles, you need to attach the appropriate role to the user as needed. Per implementare l'accesso SSO in base al ruolo da Azure AD a più account Alibaba Cloud, ripetere i passaggi precedenti.If you want to implement role-based SSO from Azure AD to multiple Alibaba Cloud accounts, repeat the preceding steps.

Configurare l'accesso Single Sign-On in base al ruolo in Alibaba Cloud ServiceConfigure Role-Based Single Sign-On in Alibaba Cloud Service

  1. Accedere alla console RAM di Alibaba Cloud usando Account1.Sign in to the Alibaba Cloud RAM console by using Account1.

  2. Nel pannello di navigazione a sinistra selezionare SSO.In the left-side navigation pane, select SSO.

  3. Nella scheda Role-based SSO (SSO in base al ruolo) fare clic su Create IdP (Crea IdP).On the Role-based SSO tab, click Create IdP.

  4. Nella pagina visualizzata immettere AAD nel campo IdP Name (Nome IdP), immettere una descrizione nel campo Note (Nota), fare clic su Upload (Carica) per caricare il file di metadati federativi scaricato in precedenza e fare clic su OK.On the displayed page, enter AAD in the IdP Name field, enter a description in the Note field, click Upload to upload the federation metadata file you downloaded before, and click OK.

  5. Dopo aver creato il provider di identità, fare clic su Create RAM Role (Crea ruolo RAM).After the IdP is successfully created, click Create RAM Role.

  6. Nel campo RAM Role Name (Nome del ruolo RAM) immettere AADrole, selezionare AAD dall'elenco a discesa Select IdP (Seleziona IdP) e fare clic su OK.In the RAM Role Name field enter AADrole, select AAD from the Select IdP drop-down list and click OK.

    Nota

    È possibile concedere l'autorizzazione al ruolo in base alle esigenze.You can grant permission to the role as needed. Dopo aver creato il provider di identità e il ruolo corrispondente, si consiglia di salvare i numeri ARN del provider di identità e del ruolo per un uso successivo.After creating the IdP and the corresponding role, we recommend that you save the ARNs of the IdP and the role for subsequent use. È possibile ottenere i numeri ARN nella pagina delle informazioni sul provider di identità e nella pagina delle informazioni sul ruolo.You can obtain the ARNs on the IdP information page and the role information page.

  7. Associare il ruolo Alibaba Cloud RAM (AADrole) all'utente di Azure AD (u2): Per associare il ruolo RAM all'utente di Azure AD, è necessario creare un ruolo in Azure AD seguendo questa procedura:Associate the Alibaba Cloud RAM role (AADrole) with the Azure AD user (u2): To associate the RAM role with the Azure AD user, you must create a role in Azure AD by following these steps:

    a.a. Accedere ad Azure AD Graph Explorer.Sign on to the Azure AD Graph Explorer.

    b.b. Fare clic su autorizzazioni di modifica per ottenere le autorizzazioni necessarie per creare un ruolo.Click modify permissions to obtain required permissions for creating a role.

    Configurazione di Graph

    c.c. Selezionare le autorizzazioni seguenti dall'elenco e fare clic su Autorizzazioni di modifica, come illustrato nella figura seguente.Select the following permissions from the list and click Modify Permissions, as shown in the following figure.

    Configurazione di Graph

    Nota

    Dopo che le autorizzazioni sono state concesse, ripetere l'accesso a Graph Explorer.After permissions are granted, log on to the Graph Explorer again.

    d.d. Nella pagina di Graph Explorer selezionare GET dal primo elenco a discesa e beta dal secondo elenco a discesa.On the Graph Explorer page, select GET from the first drop-down list and beta from the second drop-down list. Immettere quindi https://graph.microsoft.com/beta/servicePrincipals nel campo accanto agli elenchi a discesa e fare clic su Esegui query.Then enter https://graph.microsoft.com/beta/servicePrincipals in the field next to the drop-down lists, and click Run Query.

    Configurazione di Graph

    Nota

    Se si usano più directory, è possibile immettere https://graph.microsoft.com/beta/contoso.com/servicePrincipals nel campo della query.If you are using multiple directories, you can enter https://graph.microsoft.com/beta/contoso.com/servicePrincipals in the field of the query.

    e.e. Nella sezione Response Preview (Anteprima della risposta) estrarre la proprietà appRoles dall'entità servizio per un uso successivo.In the Response Preview section, extract the appRoles property from the 'Service Principal' for subsequent use.

    Configurazione di Graph

    Nota

    Per individuare la proprietà appRoles, immettere https://graph.microsoft.com/beta/servicePrincipals/<objectID> nel campo della query.You can locate the appRoles property by entering https://graph.microsoft.com/beta/servicePrincipals/<objectID> in the field of the query. Si noti che objectID è l'ID dell'oggetto copiato dalla pagina Proprietà di Azure AD.Note that the objectID is the object ID you have copied from the Azure AD Properties page.

    f.f. Tornare a Graph Explorer, sostituire il metodo GET con PATCH, incollare il contenuto seguente nella sezione Corpo della richiesta e fare clic su Esegui query:Go back to the Graph Explorer, change the method from GET to PATCH, paste the following content into the Request Body section, and click Run Query:

    { 
    "appRoles": [
        { 
        "allowedMemberTypes":[
            "User"
        ],
        "description": "msiam_access",
        "displayName": "msiam_access",
        "id": "41be2db8-48d9-4277-8e86-f6d22d35****",
        "isEnabled": true,
        "origin": "Application",
        "value": null
        },
        { "allowedMemberTypes": [
            "User"
        ],
        "description": "Admin,AzureADProd",
        "displayName": "Admin,AzureADProd",
        "id": "68adae10-8b6b-47e6-9142-6476078cdbce",
        "isEnabled": true,
        "origin": "ServicePrincipal",
        "value": "acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD"
        }
    ]
    }
    

    Nota

    value rappresenta i numeri ARN del provider di identità e del ruolo creati nella console RAM.The value is the ARNs of the IdP and the role you created in the RAM console. È possibile aggiungere più ruoli in base alle esigenze.Here, you can add multiple roles as needed. Azure AD invierà il valore di questi ruoli come valore attestazione nella risposta SAML.Azure AD will send the value of these roles as the claim value in SAML response. È tuttavia possibile aggiungere i nuovi ruoli solo dopo la parte msiam_access per l'operazione patch.However, you can only add new roles after the msiam_access part for the patch operation. Per semplificare il processo di creazione, è consigliabile usare un generatore di ID, ad esempio Generatore di GUID, per generare gli ID in tempo reale.To smooth the creation process, we recommend that you use an ID generator, such as GUID Generator, to generate IDs in real time.

    g.g. Dopo che all'entità servizio è stata applicata la patch con il ruolo necessario, collegare il ruolo all'utente di Azure AD (u2) seguendo la procedura indicata nella sezione Assegnare l'utente di test di Azure AD dell'esercitazione.After the 'Service Principal' is patched with the required role, attach the role with the Azure AD user (u2) by following the steps of Assign the Azure AD test user section of the tutorial.

Configurare l'accesso Single Sign-On di Alibaba Cloud Service (Role-based SSO)Configure Alibaba Cloud Service (Role-based SSO) SSO

Per configurare l'accesso Single Sign-On sul lato Alibaba Cloud Service (Role-based SSO) , è necessario inviare il file XML di metadati della federazione scaricato e gli URL appropriati copiati dal portale di Azure al team di supporto di Alibaba Cloud Service (Role-based SSO).To configure single sign-on on Alibaba Cloud Service (Role-based SSO) side, you need to send the downloaded Federation Metadata XML and appropriate copied URLs from Azure portal to Alibaba Cloud Service (Role-based SSO) support team. La configurazione viene eseguita in modo che la connessione SSO SAML sia impostata correttamente su entrambi i lati.They set this setting to have the SAML SSO connection set properly on both sides.

Creare l'utente di test di Alibaba Cloud Service (Role-based SSO)Create Alibaba Cloud Service (Role-based SSO) test user

In questa sezione viene creato un utente di nome Britta Simon in Alibaba Cloud Service (Role-based SSO).In this section, you create a user called Britta Simon in Alibaba Cloud Service (Role-based SSO). Collaborare con il team di supporto di Alibaba Cloud Service (Role-based SSO) per aggiungere gli utenti nella piattaforma Alibaba Cloud Service (Role-based SSO).Work with Alibaba Cloud Service (Role-based SSO) support team to add the users in the Alibaba Cloud Service (Role-based SSO) platform. Gli utenti devono essere creati e attivati prima di usare l'accesso Single Sign-On.Users must be created and activated before you use single sign-on.

Testare l'accesso SSOTest SSO

Dopo aver completato le configurazioni precedenti, testare Alibaba Cloud Service (Role-based SSO) seguendo questa procedura:After the preceding configurations are completed, test Alibaba Cloud Service (Role-based SSO) by following these steps:

  1. Nel portale di Azure passare alla pagina Alibaba Cloud Service (Role-based SSO) , selezionare Single Sign-On e fare clic su Test.In the Azure portal, go to the Alibaba Cloud Service (Role-based SSO) page, select Single sign-on, and click Test.

    Configurazione di test

  2. Fare clic su Accedi con l'account utente corrente.Click Sign in as current user.

    Configurazione di test

  3. Nella pagina di selezione dell'account selezionare u2.On the account selection page, select u2.

    Configurazione di test

  4. Viene visualizzata la pagina seguente, che indica che l'accesso SSO in base al ruolo ha avuto esito positivo.The following page is displayed, indicating that role-based SSO is successful.

    Configurazione di test

Risorse aggiuntiveAdditional resources