All Products
Search
Document Center

Alibaba Cloud Service Mesh:Konfigurasikan OIDC SSO dalam kebijakan keamanan ASM

Last Updated:Jun 22, 2026

OpenID Connect (OIDC) adalah protokol otentikasi identitas dan otorisasi berbasis OAuth 2.0 yang umum digunakan untuk mengimplementasikan single sign-on (SSO). Dengan mengonfigurasi OIDC SSO dalam kebijakan keamanan ASM, Anda dapat memanfaatkan Alibaba Cloud IDaaS atau penyedia identitas (IdP) lain yang kompatibel dengan OIDC sehingga pengguna cukup login sekali untuk mengakses beberapa aplikasi. Pendekatan ini tidak memerlukan perubahan pada aplikasi itu sendiri, sehingga meningkatkan keamanan sekaligus menyederhanakan pengembangan dan manajemen.

Prasyarat

Prosedur

Topik ini menggunakan IdP dari Alibaba Cloud IDaaS sebagai contoh. Jika Anda menggunakan layanan OIDC yang dikelola sendiri, lihat Integrasikan ASM dengan Keycloak untuk mengaktifkan SSO bagi aplikasi dalam service mesh.

  1. Login ke Konsol ASM. Di panel navigasi kiri, pilih Service Mesh > Mesh Management.

  2. Di halaman Mesh Management, klik nama instans ASM. Di panel navigasi kiri, pilih Mesh Security Center > ASMSecurityPolicy.

  3. Di halaman ASMSecurityPolicy, klik Create.

  4. Di kotak dialog Create ASMSecurityPolicy, klik OIDC Single Sign-On, lalu klik OK.

  5. Di wizard OIDC Config, konfigurasikan parameter dan klik Next.

    Tabel berikut menjelaskan parameter untuk contoh ini.

    Parameter

    Deskripsi

    ASMSecurityPolicyName

    Tetapkan nama menjadi test-oidc.

    Redirect address

    Anda dapat memilih Use ingressgateway IP address atau Customized Domain. Pada contoh ini, pilih Use ingressgateway IP address, lalu pilih http dan ingressgateway.

    Callback Address

    URI redirect.

    OIDC Issuer URL

    URL yang mengidentifikasi dan memvalidasi penyedia OIDC.

    Client ID

    ID client yang diberikan oleh IdP.

    Client Secret

    Rahasia client yang diberikan oleh IdP.

    Cookie Secret

    Seed untuk cookie aman. Encoding Base64 didukung.

    Cookie Expire

    Durasi validitas cookie. Nilai 0 menunjukkan bahwa cookie tidak pernah kedaluwarsa.

    Cookie refresh interval

    Interval pembaruan cookie. Nilai 0 menonaktifkan pembaruan.

    Scopes

    Tentukan scope yang ingin diambil. Scope yang ditentukan harus didukung oleh issuer.

    Untuk informasi lebih lanjut tentang scope, lihat Integrasikan ASM dengan Alibaba Cloud IDaaS untuk mengaktifkan SSO bagi aplikasi dalam service mesh.

    Pada contoh ini, tetapkan Cookie expiration menjadi 3600 detik, tetapkan Cookie refresh interval menjadi 600 detik, dan pilih openid serta phone untuk Scopes.

  6. Di wizard Workload and Match Rules, klik Add Workload Group. Di kotak dialog New Workload Group, konfigurasikan parameter, klik OK, lalu klik Submit.

    Tabel berikut menjelaskan parameter untuk contoh ini.

    Parameter

    Deskripsi

    Workload Group Name

    Tetapkan nama menjadi test-policy.

    Workload List

    Secara default, gateway yang dikonfigurasi untuk Redirect address pada langkah sebelumnya dipilih dan tidak dapat diubah. Untuk memilih workload lain, kembali ke wizard OIDC Config dan ubah informasi Redirect address.

    Catatan

    Jika Anda memilih Customized Domain untuk Redirect address di wizard OIDC Config, lakukan langkah-langkah berikut:

    1. Di kotak dialog New Workload Group, klik Add Workload, lalu pilih Gateway Scope.

    2. Di bagian Select workloads, pilih workload target, klik ikon 添加 untuk memindahkannya ke area selected, lalu klik OK.

    Match Rule List

    Match Mode memiliki dua opsi:

    • Auth If Matched: Memerlukan otentikasi untuk permintaan yang sesuai dengan aturan yang ditentukan.

    • Bypass Auth If Matched: Permintaan yang sesuai dengan aturan dapat diakses tanpa otentikasi.

    Pada contoh ini, tetapkan Match Mode menjadi Auth If Matched dan Match Mode menjadi Custom Matching Rules. Lalu, klik Add Match Rule untuk menambahkan aturan yang mewajibkan otentikasi OIDC untuk jalur yang dimulai dengan /static dan /api.

    • Aturan 1: Aktifkan Path dan tetapkan nilainya menjadi /static/*.

    • Aturan 2: Aktifkan Path dan tetapkan nilainya menjadi /api/*.

    Setelah kebijakan dibuat, langkah Complete menampilkan pesan bahwa kebijakan keamanan ASM berhasil dibuat. Anda dapat mengklik View YAML untuk melihat sumber daya yang dibuat, atau klik Complete untuk kembali ke halaman ASMSecurityPolicy dan melihat kebijakan keamanan baru tersebut.

  7. Verifikasi konfigurasi OIDC SSO.

    1. Di browser web, akses URL berikut secara berurutan.

      http://${GATEWAY_ADDRESS}/productpage
      http://${GATEWAY_ADDRESS}/api/v1/products/1
      http://${GATEWAY_ADDRESS}/static/jquery.min.js

      Hasil berikut mengonfirmasi bahwa konfigurasi OIDC SSO berfungsi:

      • Permintaan ke jalur yang dimulai dengan /productpage dapat diakses tanpa otentikasi. Saat Anda mengakses productpage aplikasi contoh BookInfo, ringkasan buku The Comedy of Errors ditampilkan.

      • Permintaan ke jalur yang dimulai dengan /api dan /static memerlukan otentikasi. Saat mengakses jalur-jalur ini, Anda akan dialihkan ke halaman login Alibaba Cloud IDaaS. Anda harus memasukkan kredensial di kotak teks Account, phone, or email dan Password, lalu klik Log On untuk melakukan otentikasi.

    2. Ubah konfigurasi OIDC SSO.

      1. Di halaman ASMSecurityPolicy, temukan kebijakan keamanan OIDC target dan klik edit di kolom Operator.

      2. Di wizard OIDC Config, klik Next.

      3. Di wizard Workload and Match Rules, temukan grup workload target dan klik edit di kolom Operator. Ubah konfigurasi, klik OK, lalu klik Submit.

        Tabel berikut menjelaskan parameter untuk contoh ini.

        Parameter

        Deskripsi

        Match Mode

        Pilih Bypass Auth If Matched.

        Matching Rules

        Klik Add Match Rule untuk mengonfigurasi aturan berikut. Konfigurasi ini memungkinkan permintaan ke jalur yang dimulai dengan /productpage dan /static melewati otentikasi OIDC.

        • Aturan 1: Aktifkan Path dan tetapkan nilainya menjadi /productpage.

        • Aturan 2: Aktifkan Path dan tetapkan nilainya menjadi /static/*.

    3. Untuk memverifikasi perubahan, buka jendela penyamaran baru di browser Anda dan akses URL berikut.

      http://${GATEWAY_ADDRESS}/productpage
      http://${GATEWAY_ADDRESS}/api/v1/products/1
      http://${GATEWAY_ADDRESS}/static/jquery.min.js

      Hasil berikut mengonfirmasi bahwa konfigurasi yang dimodifikasi berfungsi.

      • Permintaan ke jalur yang dimulai dengan /productpage dan /static dapat diakses tanpa otentikasi.

      • Permintaan ke jalur yang dimulai dengan /api memerlukan otentikasi.

Dokumen Terkait