Cara Mengatur Single Sign-On (SSO) dengan Microsoft Entra ID

Ikhtisar

Panduan ini akan membantu administrator TI Anda mengatur Single Sign-On (SSO) antara Microsoft Entra ID (sebelumnya Azure AD) dan ELSA School. Dengan SSO diaktifkan, siswa dan guru Anda dapat masuk ke ELSA School menggunakan kredensial Microsoft sekolah mereka yang sudah ada, sehingga tidak perlu membuat kata sandi terpisah.

Sebelum Anda Memulai

Yang Perlu Anda Sediakan

1. Domain email yang akan Anda gunakan untuk SSO (misal: xyz@schooldomain.com)

Yang Anda Butuhkan

1. Akses administratif ke portal Microsoft Entra ID (Azure AD) organisasi Anda
2. Kredensial SSO (akan diberikan oleh ELSA), yang meliputi:
   • SP Entity ID (Service Provider Entity ID)
   • ACS URL (Assertion Consumer Service URL)

Langkah 1: Buat Aplikasi ELSA di Microsoft Entra ID

1. Masuk ke Microsoft Azure Portal Anda

2. Arahkan ke Enterprise Applications:

   • Klik "Microsoft Entra ID" (atau "Azure Active Directory")
   • Pilih "Enterprise applications" dari menu sebelah kiri
   • Klik "+ New application"
     

3. Buat aplikasi Anda sendiri:

   • Klik "Create your own application"
   • Masukkan nama untuk aplikasi (misal: "ELSA School SSO")
   • Pilih "Integrate any other application you don't find in the gallery (Non-gallery)"
   • Klik "Create"
     

Langkah 2: Konfigurasi Single Sign-On Berbasis SAML

1. Akses pengaturan SSO:

   • Pada aplikasi ELSA yang baru Anda buat, klik "Single sign-on" dari menu sebelah kiri
   • Pilih "SAML" sebagai metode single sign-on
     

2. Konfigurasi Basic SAML Settings:

   • Klik "Edit" di bagian "Basic SAML Configuration"
   • Masukkan nilai-nilai berikut yang diberikan oleh ELSA:
     • Identifier (Entity ID): Masukkan SP Entity ID dari ELSA
     • Reply URL (Assertion Consumer Service URL): Masukkan ACS URL dari ELSA
       
   • Klik "Save"

Langkah 3: Konfigurasi Atribut dan Klaim Pengguna

1. Edit Attributes & Claims:

   • Klik "Edit" di bagian "Attributes & Claims"
     

2. Pastikan pemetaan berikut sudah diatur:

   Claim Name	Source Attribute
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	user.mail
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	user.givenname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	user.userprincipalname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	user.surname

   Penting: Pemetaan ini memastikan ELSA menerima informasi pengguna yang benar. Jika Anda perlu mengubah pemetaan ini karena alasan tertentu, silakan hubungi dukungan ELSA terlebih dahulu, karena perubahan dapat memengaruhi autentikasi pengguna.
   

Langkah 4: Berikan Metadata SAML ke ELSA

Setelah mengonfigurasi SAML, salin SAML Certificate (App Federation Metadata URL) dari konfigurasi SAML (lihat gambar) dan kirimkan kembali ke tim TI ELSA.

Langkah 5: Menetapkan Pengguna dan Grup (Setelah ELSA Mengonfirmasi Pengaturan)

Setelah ELSA mengonfirmasi bahwa SSO sudah dikonfigurasi:

1. Arahkan ke Users and Groups:

   • Pada aplikasi ELSA Anda, klik "Users and groups" dari menu sebelah kiri
     
   • Klik "+ Add user/group"
     
     

2. Tetapkan akses:

   • Klik "Users" (atau "Groups") di bawah "None Selected"
   • Pilih pengguna atau grup yang seharusnya memiliki akses ke ELSA
   • Klik "Select" di bagian bawah
   • Klik "Assign"
     

3. Apa artinya ini:

   • Hanya pengguna/grup yang ditetapkan yang dapat masuk ke ELSA menggunakan SSO
   • Pengguna yang tidak ditetapkan tidak akan melihat ELSA di aplikasi Microsoft mereka
   • Anda dapat menambah atau menghapus pengguna kapan saja

Menguji Koneksi SSO Anda

1. Tetapkan diri Anda sendiri sebagai pengguna uji coba terlebih dahulu
2. Keluar dari ELSA School jika sedang masuk
3. Arahkan ke halaman login ELSA School Anda
4. Klik "Sign in with SSO"
5. Masukkan alamat email sekolah Anda
6. Verifikasi Anda diarahkan ke login Microsoft
7. Konfirmasi Anda dapat berhasil masuk ke ELSA

Pemecahan Masalah Umum

Tidak dapat login

Kemungkinan penyebab:

• ELSA belum selesai mengonfigurasi SSO di sisi kami
• Metadata URL belum dikirim ke ELSA
• SP Entity ID atau ACS URL dimasukkan dengan salah

Solusi: Verifikasi dengan ELSA bahwa pengaturan sudah selesai, dan periksa kembali nilai yang dimasukkan pada Langkah 2.

Pengguna sudah ditetapkan tapi tidak bisa login

Kemungkinan penyebab:

• Email pengguna di Azure AD tidak cocok dengan email mereka di ELSA
• Atribut pengguna belum dikonfigurasi dengan benar
• Akun pengguna belum aktif di ELSA

Solusi:

• Pastikan email pengguna cocok di kedua sistem
• Periksa bahwa pemetaan atribut pada Langkah 3 sudah benar
• Hubungi dukungan ELSA untuk memverifikasi status akun pengguna

Bagian "Attributes & Claims" menunjukkan pemetaan berbeda

Kemungkinan penyebab:

• Azure AD Anda mungkin memiliki konfigurasi klaim khusus

Solusi:

• Hubungi dukungan ELSA sebelum mengubahnya
• Kami dapat menyesuaikan dengan pengaturan atribut Anda yang sudah ada jika diperlukan

FAQ

Q: Apakah kami bisa menggunakan SSO dan login email/kata sandi biasa secara bersamaan?
A: Ya! SSO adalah opsi login tambahan. Pengguna tetap bisa menggunakan email/kata sandi jika diperlukan.

Q: Berapa lama proses pengaturan SSO?
A: Konfigurasi Azure memakan waktu 20-30 menit. Konfigurasi ELSA memerlukan 1-2 hari kerja setelah metadata diterima.

Q: Apakah kami perlu membuat akun ELSA untuk pengguna terlebih dahulu?
A: Ya, pengguna harus sudah ada di ELSA School sebelum dapat login melalui SSO. Hubungi CSM Anda untuk unggah pengguna massal jika diperlukan.

Q: Apakah SSO bisa digunakan untuk siswa dan guru?
A: Ya, semua tipe pengguna dapat menggunakan SSO selama mereka memiliki akun Microsoft di direktori Anda.

Q: Apa yang terjadi jika email pengguna berubah?
A: Hubungi dukungan ELSA untuk memperbarui email di ELSA School agar sesuai dengan email Azure AD yang baru.