Implementasi Microsoft Entra ID sebagai SSO di Alibaba Cloud
Pendahuluan
Di era cloud modern perusahaan sering mengoperasikan lebih dari satu platform cloud sekaligus. Setiap platform memiliki sistem autentikasi sendiri, yang berarti pengguna harus mengingat banyak kredensial berbeda. Situasi yang tidak efisien dan rentan terhadap risiko keamanan.
Single Sign-On (SSO) hadir sebagai solusi dengan cukup satu ID login pengguna dapat mengakses seluruh layanan yang telah terhubung. Artikel ini membahas cara mengimplementasikan Microsoft Entra ID (dahulu Active Directory) sebagai Identity Provider (IdP) untuk mengakses Alibaba Cloud.
Mengapa Mengintegrasikan Microsoft Entra ID dengan Alibaba Cloud?
Banyak perusahaan yang telah menggunakan ekosistem Microsoft 365 dan pastinya menggunakan Entra ID untuk manajemen identitas karyawan. Dengan mengintegrasikannya ke Alibaba Cloud melalui SSO pengguna mendapatkan keunggulan:
- Satu kredensial untuk semua, karyawan hanya memiliki 1 kredensial untuk login ke Entra ID dan bisa langsung masuk ke konsol Alibaba Cloud.
- Manajemen tersentralisasi sehingga proses onboarding dan offboarding pengguna cukup dari satu tempat (Entra ID).
- Keamanan lebih kuat karena dapat memanfaatkan kebijakan Conditional Access dan MFA yang sudah ada di Entra ID.
- Audit terpusat karena aktivitas login tercatat di satu sistem manajemen identitas.
Konsep SAML
Integrasi ini menggunakan protokol SAML 2.0 (Security Assertion Markup Languange). SAML bekerja dengan bertukar dokumen XML terenkripsi antar dua pihak.
| Istilah | Pihak | Peran |
|---|---|---|
| IdP | Microsoft Entra ID | Memverifikasi identitas pengguna dan mengeluarkan SAML Assertion |
| SP | Alibaba Cloud (RAM) | Menerima dan memvalidasi SAML Assertion untuk mengizinkan akses |
| Metadata | File XML | Dokumen konfigurasi yang dipertukarkan antar IdP dan SP |
Prasyarat
Agar tidak salah kaprah pada tutorial ini, saya menganggap kita sudah memiliki hal berikut ini:
| Sisi Alibaba Cloud | |
|---|---|
| ✔ | Akun Alibaba Cloud aktif |
| ✔ | RAM user dengan policy AliyunRAMFullAccess terlampir |
| ✔ | Akses ke RAM Console (https://ram.console.alibabacloud.com) |
| Sisi Microsoft Entra ID | |
|---|---|
| ✔ | Tenant Microsoft Entra ID aktif |
| ✔ | User dengan role Global Administrator |
| ✔ | Akses ke Azure Portal (https://portal.azure.com) |
Implementasi
Implementasi ini dibagi menjadi tiga bagian berurutan. Pengerjaan dimulai dari Alibaba Cloud untuk mengambil metadata, beralih ke Microsoft Entra ID untuk konfigurasi penuh, lalu kembali ke Alibaba Cloud untuk finalisasi.
Langkah 1 - Unduh SAML SP Metadata dari Alibaba Cloud
Metadata SP Alibaba Cloud berisi informasi konfigurasi yang dibutuhkan Microsoft Entra ID untuk mengenali Alibaba Cloud sebagai service provider yang sah.
- Masuk ke RAM Console sebagai RAM Administrator.
- Pada panel navigasi sebelah kiri pilih Integrations -> SSO.
- Klik tab User Based SSO.
- Di bagian SAML Service Provider Metadata URL, salin URL yang tersedia.
- Buka URL yang sudah disalin tadi melalui peramban.
- Klik kanan pada halaman tersebut > Save As > Simpan sebagai SPMetadata.xml.
Langkah 2 - Buat Enterprise Application di Microsoft Entra ID
Kita perlu mendaftarkan Alibaba CLoud sebagai Enterprise Application di Entra ID agar dapat dikonfigurasi dengan SAML.
- Login ke Portal Azure di https://portal.azure.com sebagai Global Administrator.
- Klik ikon menu di pojok kiri atas, lalu pilih Microsoft Entra ID.
- Di panel navigasi, pilih Manage > Enterprise Application > All Aplication
- Klik New Application
- Pada halaman Browse Microsoft Entra App Gallery klik Create your own application.
- Isi nama aplikasi pada umumnya contoh SSO - Alibaba Cloud, pilih opsi Integrate any other application you don’t find in the gallery (Non Gallery), lalu klik create.
Langkah 3 - Konfigurasi SAML di Microsoft Entra ID
Sekarang kita akan menghubungkan Alibaba Cloud sebagai Service Provider (SP) ke dalam konfigurasi SAML aplikasi yang baru dibuat.
- Pada halaman detail aplikasi, pilih Manage > Single Sign-on
- Pilih metode SAML
- Di halaman SAML-based Sign-on, sebelah kiri atas klik Upload metadata file
- Unggah file SPMetadata.xml yang tadi kita unduh dari Alibaba Cloud.
- Sistem akan otomatis membaca nilai Identifier (Entity ID) dan Reply URL dari file metadata. Langsung klik save saja.
- Sekarang scroll ke bagian bawah, pada bagian SAML Certificates
Langkah 4 - Assign User ke Aplikasi Entra ID
Kita harus menentukan user mana saja yang bisa menggunakan SSO Alibaba Cloud, ini untuk kontrol pembatasan user. Karena tidak mungkin kan orang HRD masuk ke Alibaba Cloud.
- Masih di halaman aplikasi Entra ID, pilih manage > Users and Groups.
- Pada sebelah kiri atas Klik Add user/group.
- Pada halaman Add Assignment, cari dan pilih user yang akan diberikan akses.
- Klik select lalu Assign
Langkah 5 - Buat RAM User di Alibaba Cloud
Sekarang kita menuju dasbor Alibaba Cloud RAM untuk membuat user baru. Sebelumnya kita harus pahami dulu bahwa ada aturan penamaan untuk user RAM agar bisa masuk menggunakan Entra ID.
⚠️ Aturan Penamaan — Wajib Diperhatikan
Prefix logon name RAM user HARUS sama persis dengan username Entra ID.
Contoh
| Keterangan | Nilai |
|---|---|
| Username Entra ID | ariyolo@example.onmicrosoft.com |
| Logon Name RAM | ariyolo@<NamaAkunAlibaba> |
➡️ Prefix ariyolo harus sama pada kedua nilai tersebut.
Dalam tutorial kali ini karena akun Entra saya sudah pakai domain sendiri, berikut contoh yang akan saya gunakan di tutorial ini:
- Entra ID: rona@ariyolo.id
- Alibaba RAM: rona@ariyolo.onaliyun.com
- Buka RAM Console di Alibaba Cloud
- Di panel navitasi sebelah kiri piih Identities > Users.
- Klik Create User
- Isi kolom User Login Name sesuai informasi yang saya berikan di atas.
- Untuk access Configuration centang Console Access.
- klik OK untuk menyimpan.
Langkah 6 - Upload Metadata IdP dan Aktifkan SSO di Alibaba Cloud
Ini adalah langkah terakhir, kita akan menghubungkan Alibaba Cloud dengan EntraID menggunakan metadata sertifikat SAML yang telah kita unduh di langkah 3.
- Pada panel navigasi sebelah RAM Console pilih Integrations > SSO.
- Klik tab User-based SSO.
[!NOTE] Pengaktifan SSO bersifat global untuk semua RAM user. Setelah diaktifkan RAM user tidak bisa lagi login menggunakan username dan password.
- Aktifkan SSO ini dengan klik tombol opsi enabled
- Pada tampilan User-based SSO bagian Metadata File dengan klikupload Metadata File dan unggah sertifikat SAML yang tadi di langkah 3
- Pada login with domain pilih yes.
- Untuk Auxiliary Domain Name aktifkan dan masukkan suffix domain dari Entra ID. Karena akun entra ID saya adalah
rona@ariyolo.idmaka pada kolom ini diisiariyolo.id.
Verifikasi Konfigurasi
Setelah semua langkah selesai, kita akan melakukan ujicoba SSO dengan cara masuk melalui portal pengguna khusus.
- Masuk ke konsol Cloud SSO , buka halaman Overview dan salin URL yang akan kita gunakan.
- Buka URL portal pada peramban terpisah atau bisa gunakan mode incognito, jika SSO sudah diaktifkan maka tampilannya akan seperti di bawah ini.
Tampilan portal login user RAM ketika SSO aktif - Klik Logon with Enterprise Account dan kita akan dilempar ke tampilan login Microsoft.
- Masukkan kredensial Microsoft milik teman pembaca.
- Jika integrasi sukses maka seharusnya kita akan otomatis masuk ke dasbor Alibaba Cloud dengan user RAM yang telah kita buat. Berikut buktinya.
Bukti berhasil login menggunakan SSO Entra ID
Penutup
Dengan mengikuti panduan ini, kita telah berhasil mengimplementasikan User-based SSO antara Microsoft Entra ID dengan Alibaba Cloud menggunakan protokol SAML 2.0. Pengguna kita dapat mengakses Alibaba Cloud Management Console hanya dengan kredensial Microsoft mereka tanpa perlu kata sandi terpisah.
Setelah SSO ini berjalan, kita dapat eksplorasi konfigurasi lanjutan seperti Role-Based SSO, Multi-Account SSO, atau Conditional Access
Share
Related Posts
Quick Links
Legal Stuff