Share via

Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med Alibaba Cloud Service (rollbaserad enkel inloggning)

  • Artikel

I den här självstudien får du lära dig hur du integrerar Alibaba Cloud Service (rollbaserad enkel inloggning) med Microsoft Entra-ID. När du integrerar Alibaba Cloud Service (rollbaserad enkel inloggning) med Microsoft Entra-ID kan du:

  • Kontroll i Microsoft Entra-ID som har åtkomst till Alibaba Cloud Service (rollbaserad enkel inloggning).
  • Gör så att dina användare automatiskt loggas in på Alibaba Cloud Service (rollbaserad enkel inloggning) med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats.

Förutsättningar

För att komma igång behöver du följande:

  • En Microsoft Entra-prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
  • Alibaba Cloud Service-aktiverad prenumeration (rollbaserad enkel inloggning) (SSO).

Beskrivning av scenario

I den här självstudien konfigurerar och testar du Microsoft Entra SSO i en testmiljö.

  • Alibaba Cloud Service (rollbaserad enkel inloggning) stöder IDP-initierad enkel inloggning

För att konfigurera integreringen av Alibaba Cloud Service (rollbaserad enkel inloggning) i Microsoft Entra ID måste du lägga till Alibaba Cloud Service (rollbaserad enkel inloggning) från galleriet till din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.

  3. I avsnittet Lägg till från galleriet skriver du Alibaba Cloud Service (rollbaserad enkel inloggning) i sökrutan.

  4. Välj Alibaba Cloud Service (rollbaserad enkel inloggning) i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

  5. På sidan Alibaba Cloud Service (rollbaserad enkel inloggning) klickar du på Egenskaper i det vänstra navigeringsfönstret och kopierar objekt-ID:t och sparar det på datorn för senare användning.

    Properties config

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO för Alibaba Cloud Service (rollbaserad enkel inloggning)

Konfigurera och testa Microsoft Entra SSO med Alibaba Cloud Service (rollbaserad enkel inloggning) med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i Alibaba Cloud Service (rollbaserad enkel inloggning).

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med Alibaba Cloud Service (rollbaserad enkel inloggning):

  1. Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
    1. Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med Britta Simon.
    2. Tilldela Microsoft Entra-testanvändaren – för att göra det möjligt för Britta Simon att använda enkel inloggning med Microsoft Entra.
  2. Konfigurera rollbaserad enkel inloggning i Alibaba Cloud Service – så att användarna kan använda den här funktionen.
    1. Konfigurera Alibaba Cloud Service (rollbaserad SSO) SSO – för att konfigurera inställningarna för enkel inloggning på programsidan.
    2. Skapa Alibaba Cloud Service-testanvändare (rollbaserad enkel inloggning) – för att ha en motsvarighet till Britta Simon i Alibaba Cloud Service (rollbaserad enkel inloggning) som är länkad till Microsoft Entra-representationen av användaren.
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera enkel inloggning med Microsoft Entra

Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications>Enterprise-program>Alibaba Cloud Service (rollbaserad enkel inloggning)>Enkel inloggning.

  3. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  4. På sidan Konfigurera enkel inloggning med SAML klickar du på ikonen redigera/penna för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Edit Basic SAML Configuration

  5. I avsnittet Grundläggande SAML-konfiguration utför du följande steg om du har metadatafilen för tjänstleverantör:

    a. Klicka på Ladda upp metadatafil.

    b. Klicka på mappikonen för att välja metadatafilen och klicka på Ladda upp.

    Kommentar

    1. För Alibaba Cloud International Site laddar du ned metadata för tjänstleverantören från den här länken.
    2. För Alibaba Cloud Service(CN)-webbplats laddar du ned metadata för tjänstleverantören från den här länken.

    c. När metadatafilen har laddats upp fylls värdena för identifierare och svars-URL automatiskt i textrutan Alibaba Cloud Service (rollbaserad enkel inloggning):

    Kommentar

    Om värdena identifierare och svars-URL inte fylls i automatiskt fyller du i värdena manuellt enligt dina behov.

  6. Alibaba Cloud Service (rollbaserad enkel inloggning) kräver att roller konfigureras i Microsoft Entra-ID. Rollanspråket är förkonfigurerat så du behöver inte konfigurera det, men du måste fortfarande skapa dem i Microsoft Entra-ID med hjälp av den här artikeln.

  7. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat och letar upp XML för federationsmetadata och väljer Ladda ned för att ladda ned certifikatet och spara det på datorn.

    The Certificate download link

  8. I avsnittet Konfigurera Alibaba Cloud Service (rollbaserad enkel inloggning) kopierar du lämpliga URL:er baserat på dina behov.

    Copy configuration URLs

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Bläddra till Identitetsanvändare>>Alla användare.
  3. Välj Ny användare>Skapa ny användare överst på skärmen.
  4. Följ dessa steg i användaregenskaperna :
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel: B.Simon@contoso.com
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Välj Granska + skapa.
  5. Välj Skapa.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till Alibaba Cloud Service (rollbaserad enkel inloggning).

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program>>Alibaba Cloud Service (rollbaserad enkel inloggning).

  3. På appens översiktssida hittar du avsnittet Hantera och väljer Användare och grupper.

  4. Välj Lägg till användare och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .

  5. På fliken Användare och grupper väljer du u2 i användarlistan och klickar på Välj. Klicka sedan på Tilldela.

    Assign the Microsoft Entra test user1

  6. Visa den tilldelade rollen och testa Alibaba Cloud Service (rollbaserad enkel inloggning).

    Assign the Microsoft Entra test user2

    Kommentar

    När du har tilldelat användaren (u2) kopplas den skapade rollen automatiskt till användaren. Om du har skapat flera roller måste du koppla lämplig roll till användaren efter behov. Om du vill implementera rollbaserad enkel inloggning från Microsoft Entra-ID till flera Alibaba Cloud-konton upprepar du föregående steg.

Konfigurera rollbaserad enkel inloggning i Alibaba Cloud Service

  1. Logga in på Alibaba Cloud RAM-konsolen med hjälp av Account1.

  2. I det vänstra navigeringsfönstret väljer du Enkel inloggning.

  3. På fliken Rollbaserad enkel inloggning klickar du på Skapa IdP.

  4. På den visade sidan anger du AAD i fältet IdP-namn, anger en beskrivning i fältet Anteckning , klickar på Ladda upp för att ladda upp federationsmetadatafilen som du laddade ned tidigare och klickar på OK.

  5. När IdP:t har skapats klickar du på Skapa RAM-roll.

  6. I fältet RAM-rollnamn anger du AADrole, väljer AAD i listrutan Välj IdP och klickar på OK.

    Kommentar

    Du kan bevilja behörighet till rollen efter behov. När du har skapat IdP och motsvarande roll rekommenderar vi att du sparar ARN för IdP och rollen för efterföljande användning. Du kan hämta ARN:erna på IdP-informationssidan och sidan rollinformation.

  7. Associera Alibaba Cloud RAM-rollen (AADrole) med Microsoft Entra-användaren (u2):

    Om du vill associera RAM-rollen med Microsoft Entra-användaren måste du skapa en roll i Microsoft Entra-ID genom att följa dessa steg:

    1. Logga in på Microsoft Graph Explorer.

    2. Klicka på Ändra behörigheter för att hämta nödvändiga behörigheter för att skapa en roll.

      Graph config1

    3. Välj följande behörigheter i listan och klicka på Ändra behörigheter, enligt följande bild.

      Graph config2

      Kommentar

      När behörigheterna har beviljats loggar du in på Graph Explorer igen.

    4. På sidan Graph Explorer väljer du GET i den första listrutan och beta i den andra listrutan. Ange https://graph.microsoft.com/beta/servicePrincipals sedan i fältet bredvid listrutorna och klicka på Kör fråga.

      Graph config3

      Kommentar

      Om du använder flera kataloger kan du ange https://graph.microsoft.com/beta/contoso.com/servicePrincipals i fältet för frågan.

    5. I avsnittet Förhandsversion av svar extraherar du egenskapen appRoles från tjänstens huvudnamn för senare användning.

      Graph config4

      Kommentar

      Du kan hitta egenskapen appRoles genom att ange https://graph.microsoft.com/beta/servicePrincipals/<objectID> i fältet för frågan. Observera att objectID är det objekt-ID som du har kopierat från sidan Egenskaper för Microsoft Entra-ID.

    6. Gå tillbaka till Graph Explorer, ändra metoden från GET till PATCH, klistra in följande innehåll i avsnittet Begärandetext och klicka på Kör fråga:

        {
    "appRoles": [
      {
        "allowedMemberTypes": [
          "User"
        ],
        "description": "msiam_access",
        "displayName": "msiam_access",
        "id": "41be2db8-48d9-4277-8e86-f6d22d35****",
        "isEnabled": true,
        "origin": "Application",
        "value": null
      },
      {
        "allowedMemberTypes": [
          "User"
        ],
        "description": "Admin,AzureADProd",
        "displayName": "Admin,AzureADProd",
        "id": "68adae10-8b6b-47e6-9142-6476078cdbce",
        "isEnabled": true,
        "origin": "ServicePrincipal",
        "value": "acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD"
      }
    ]
  }

      Kommentar

      value är ARN för IdP och den roll som du skapade i RAM-konsolen. Här kan du lägga till flera roller efter behov. Microsoft Entra-ID skickar värdet för dessa roller som anspråksvärde i SAML-svar. Du kan dock bara lägga till nya roller efter msiam_access delen för korrigeringsåtgärden. För att underlätta skapandet rekommenderar vi att du använder en ID-generator, till exempel GUID Generator, för att generera ID:t i realtid.

    7. När tjänstens huvudnamn har korrigerats med den roll som krävs bifogar du rollen med Microsoft Entra-användaren (u2) genom att följa stegen i avsnittet Tilldela Microsoft Entra-testanvändaren i självstudien.

Konfigurera alibaba cloud service (rollbaserad enkel inloggning) enkel inloggning

För att konfigurera enkel inloggning på Alibaba Cloud Service-sidan (rollbaserad enkel inloggning) måste du skicka nedladdad XML för federationsmetadata och lämpliga kopierade URL:er från programkonfigurationen till supportteamet för Alibaba Cloud Service (rollbaserad enkel inloggning). De anger inställningen så att SAML SSO-anslutningen ställs in korrekt på båda sidorna.

Skapa Alibaba Cloud Service-testanvändare (rollbaserad enkel inloggning)

I det här avsnittet skapar du en användare med namnet Britta Simon i Alibaba Cloud Service (rollbaserad enkel inloggning). Arbeta med supportteamet för Alibaba Cloud Service (rollbaserad enkel inloggning) för att lägga till användarna i Alibaba Cloud Service-plattformen (rollbaserad enkel inloggning). Användare måste skapas och aktiveras innan du använder enkel inloggning.

Testa enkel inloggning

När de föregående konfigurationerna har slutförts testar du Alibaba Cloud Service (rollbaserad enkel inloggning) genom att följa dessa steg:

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program>>Alibaba Cloud Service (rollbaserad enkel inloggning).

  3. Välj Enkel inloggning och klicka på Testa.

    Test config1

  4. Klicka på Logga in aktuell användare.

    Test config2

  5. På sidan för kontoval väljer du u2.

    Test config3

  6. Följande sida visas som anger att rollbaserad enkel inloggning lyckas.

    Test config4

Nästa steg

När du har konfigurerat Alibaba Cloud Service (rollbaserad enkel inloggning) kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.