Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, aprenderá a integrar Alibaba Cloud Service (SSO basado en roles) con Microsoft Entra ID. Al integrar Alibaba Cloud Service (inicio de sesión único basado en roles) con Microsoft Entra ID, puede hacer lo siguiente:
- Controlar en Microsoft Entra ID quién tiene acceso a Alibaba Cloud Service (inicio de sesión único basado en roles).
- Permitir que los usuarios inicien sesión automáticamente en Alibaba Cloud Service (inicio de sesión único basado en roles) con sus cuentas de Microsoft Entra.
- Administre sus cuentas en una ubicación central.
Prerrequisitos
En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:
- Una cuenta de usuario de Microsoft Entra con una suscripción activa. Si aún no tiene una, puede crear una cuenta de forma gratuita.
- Uno de los siguientes roles:
- Una suscripción habilitada para el inicio de sesión único en Alibaba Cloud Service (SSO basado en roles).
Descripción del escenario
En este artículo, configura y prueba Microsoft Entra SSO en un entorno de prueba.
- Alibaba Cloud Service (inicio de sesión único basado en roles) admite SSO iniciado por IDP
Agregar Alibaba Cloud Service (inicio de sesión único basado en roles) desde la galería
Para configurar la integración de Alibaba Cloud Service (inicio de sesión único basado en roles) en Microsoft Entra ID, debe agregar Alibaba Cloud Service (inicio de sesión único basado en roles) desde la galería a su lista de aplicaciones SaaS administradas.
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
Vaya a Entra ID>Aplicaciones empresariales>Nueva aplicación.
En la sección Agregar desde la galería , escriba Alibaba Cloud Service (Role-based SSO) en el cuadro de búsqueda.
Seleccione Alibaba Cloud Service (SSO basado en roles) en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega a su arrendatario.
En la página de Alibaba Cloud Service (inicio de sesión único basado en roles), seleccione Propiedades en el panel de navegación izquierdo, copie el identificador de objeto y guárdelo en su equipo para usarlo más adelante.
Como alternativa, también puede usar el Asistente para configuración de aplicaciones empresariales. En este asistente, puede agregar una aplicación a su cliente, agregar usuarios o grupos a la aplicación, asignar roles y completar la configuración de SSO. Más información sobre los asistentes de Microsoft 365.
Configuración y prueba del inicio de sesión único de Microsoft Entra para Alibaba Cloud Service (inicio de sesión único basado en roles)
Configure y pruebe el inicio de sesión único de Microsoft Entra con Alibaba Cloud Service (inicio de sesión único basado en roles) mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es preciso establecer una relación de vinculación entre un usuario de Microsoft Entra y el usuario relacionado de Alibaba Cloud Service (inicio de sesión único basado en roles).
Para configurar y probar el inicio de sesión único de Microsoft Entra con Alibaba Cloud Service (inicio de sesión único basado en roles), siga estos pasos:
-
Configuración del inicio de sesión único de Microsoft Entra, para que los usuarios puedan utilizar esta característica.
- Creación de un usuario de prueba de Microsoft Entra : para probar el inicio de sesión único de Microsoft Entra con Britta Simon.
- Asignación del usuario de prueba de Microsoft Entra : para permitir que Britta Simon use el inicio de sesión único de Microsoft Entra.
-
Configurar Role-Based Single Sign-On en Alibaba Cloud Service para permitir que los usuarios utilicen esta característica.
- Configuración del inicio de sesión único en Alibaba Cloud Service (Role-based SSO), para configurar los valores de inicio de sesión único en el lado de la aplicación.
- Creación de un usuario de prueba de Alibaba Cloud Service (inicio de sesión único basado en roles): para tener un homólogo de Britta Simon en Alibaba Cloud Service (inicio de sesión único basado en roles) que esté vinculado a la representación del usuario en Microsoft Entra.
- Prueba SSO - para comprobar si la configuración funciona.
Configurar el SSO de Microsoft Entra
Siga estos pasos para activar el SSO de Microsoft Entra.
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
Vaya a Entra ID>Aplicaciones empresariales>Alibaba Cloud Service (Role-based SSO)>Inicio de sesión único.
En la página Seleccionar un método de inicio de sesión único , seleccione SAML.
En la página Set up single sign-on with SAML (Configurar inicio de sesión único con SAML ), seleccione el icono de edición y lápiz de Configuración básica de SAML para editar la configuración.
En la sección Configuración básica de SAML , si tiene un archivo de metadatos del proveedor de servicios, realice los pasos siguientes:
a. Seleccione Cargar archivo de metadatos.
b. Seleccione el logotipo de la carpeta para seleccionar el archivo de metadatos y seleccione Cargar.
Nota:
c. Una vez cargado correctamente el archivo de metadatos, los valores de identificador y dirección URL de respuesta se rellenan automáticamente en el cuadro de texto de la sección Alibaba Cloud Service (inicio de sesión único basado en roles):
Nota:
Si los valores identificador y dirección URL de respuesta no se rellenan automáticamente, rellene los valores manualmente según sus necesidades.
El servicio de Alibaba Cloud (inicio de sesión único basado en roles) requiere que los roles se configuren en Microsoft Entra ID. La declaración de rol está preconfigurada, por lo que no tiene que configurarla, pero todavía debe crearla en Microsoft Entra ID usando este artículo.
En la página Configurar inicio de sesión único con SAML, en la sección Certificado de firma de SAML, encuentre XML de metadatos de federación y seleccione Descargar para descargar el certificado y guardarlo en el equipo.
En la sección Configurar el Servicio de Alibaba Cloud (SSO basado en roles), copie las direcciones URL adecuadas según sus necesidades.
Creación y asignación de un usuario de prueba de Microsoft Entra
Siga las instrucciones de creación y asignación de una cuenta de usuario de inicio rápido para crear una cuenta de usuario de prueba llamada B.Simon.
Configuración del inicio de sesión único basado en roles de Alibaba Cloud Service
Inicie sesión en la consola de Alibaba Cloud RAM con Account1.
En el panel de navegación izquierdo, seleccione SSO.
En la pestaña SSO basado en roles, seleccione Crear IdP.
En la página que se muestra, escriba
AADen el campo Nombre del IdP, escriba una descripción en el campo Nota , seleccione Cargar para cargar el archivo de metadatos de federación que descargó antes y seleccione Aceptar.Una vez creado correctamente el IdP, seleccione Crear rol de RAM.
En el campo Nombre de rol de RAM , escriba
AADrole, seleccioneAADen la lista desplegable Seleccionar IdP y seleccione Aceptar.Nota:
Puede conceder al rol los permisos que sean necesarios. Después de crear el IdP y el rol correspondiente, se recomienda guardar los ARN del IdP y el rol para su uso posterior. Puede obtener los ARN en la página de información del proveedor de identidades y en la página de información del rol.
Asocie el rol de RAM de Alibaba Cloud (AADrole) al usuario de Microsoft Entra (u2):
Para asociar el rol de RAM con el usuario de Microsoft Entra, debe crear un rol en el identificador de Microsoft Entra siguiendo estos pasos:
Inicie sesión en el Explorador de Microsoft Graph.
Seleccione Modificar permisos para obtener los permisos necesarios para crear un rol.
Seleccione los permisos siguientes en la lista y seleccione Modificar permisos, como se muestra en la ilustración siguiente.
Nota:
Una vez concedidos los permisos, vuelva a iniciar sesión en el Explorador de Graph.
En la página Explorador de Graph, seleccione GET en la primera lista desplegable y beta de la segunda lista desplegable. A continuación, escriba
https://graph.microsoft.com/beta/servicePrincipalsen el campo situado junto a las listas desplegables y seleccione Ejecutar consulta.
Nota:
Si usa varios directorios, puede escribir
https://graph.microsoft.com/beta/contoso.com/servicePrincipalsen el campo de la consulta.En la sección Vista previa de la respuesta, extraiga la propiedad appRoles de "Entidad de servicio" para su uso posterior.
Nota:
Puede encontrar la propiedad appRoles escribiendo
https://graph.microsoft.com/beta/servicePrincipals/<objectID>en el campo de la consulta. Tenga en cuenta queobjectIDes el identificador del objeto que ha copiado de la página de Propiedades de Microsoft Entra ID.Vuelva al Explorador de Graph, cambie el método de GET a PATCH, pegue el siguiente contenido en la sección Cuerpo de la solicitud y seleccione Ejecutar consulta:
{ "appRoles": [ { "allowedMemberTypes": [ "User" ], "description": "msiam_access", "displayName": "msiam_access", "id": "41be2db8-48d9-4277-8e86-f6d22d35****", "isEnabled": true, "origin": "Application", "value": null }, { "allowedMemberTypes": [ "User" ], "description": "Admin,AzureADProd", "displayName": "Admin,AzureADProd", "id": "68adae10-8b6b-47e6-9142-6476078cdbce", "isEnabled": true, "origin": "ServicePrincipal", "value": "acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD" } ] }Nota:
valuees el ARN del proveedor de identidades y el rol que creó en la consola de la RAM. Aquí puede agregar varios roles según sea necesario. Microsoft Entra ID envía el valor de estos roles como valor de notificación en la respuesta de SAML. Sin embargo, solo puede agregar nuevos roles después de la partemsiam_accesspara la operación de revisión. Para facilitar el proceso de creación, se recomienda que use un generador de identificadores, como GUID Generator, para generar identificadores en tiempo real.Una vez que haya revisado la entidad de servicio con el rol necesario, asocie el rol con el usuario de Microsoft Entra (u2) siguiendo los pasos de la sección Asignación del usuario de prueba de Microsoft Entra del artículo.
Configuración del inicio de sesión único de Alibaba Cloud Service (SSO basado en roles)
Para configurar el inicio de sesión único en Alibaba Cloud Service (SSO basado en roles), es preciso enviar el XML de metadatos de federación descargado y las URL apropiadas copiadas de la configuración de la aplicación al equipo de soporte técnico de Alibaba Cloud Service (SSO basado en roles). Establecen esta configuración para que la conexión de SSO de SAML se establezca correctamente en ambos lados.
Crear usuario de prueba de Alibaba Cloud Service (SSO basado en roles)
En esta sección, se crea un usuario llamado Britta Simon en Alibaba Cloud Service (SSO basado en roles). Trabaje con el equipo de soporte técnico de Alibaba Cloud Service (Role-based SSO) para agregar los usuarios a la plataforma de Alibaba Cloud Service (Role-based SSO). Los usuarios deben crearse y activarse antes de usar el inicio de sesión único.
Prueba del inicio de sesión único
Una vez completadas las configuraciones anteriores, pruebe Alibaba Cloud Service (SSO basado en roles) siguiendo estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
Vaya a Entra ID>Aplicaciones empresariales>Alibaba Cloud Service (Role-based SSO).
Seleccione Inicio de sesión único y seleccione Probar.
Seleccione Iniciar sesión como usuario actual.
En la página de selección de la cuenta, seleccione u2.
Se abrirá la página siguiente, que indica que el inicio de sesión único basado en roles es correcto.
Contenido relacionado
Una vez configurado Alibaba Cloud Service (Role-based SSO), puede aplicar el control de sesión que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión se extiende desde el acceso condicional. Obtenga información sobre cómo aplicar el control de sesión con Microsoft Defender for Cloud Apps.