全部产品
Search

搜索本产品

    Bastionhost:Praktik terbaik untuk autentikasi identitas

    文档中心

    Bastionhost:Praktik terbaik untuk autentikasi identitas

    更新时间:Jul 06, 2025

    Topik ini menjelaskan cara menggunakan Bastionhost untuk mengelola pengguna dari berbagai sumber autentikasi identitas, seperti Resource Access Management (RAM), Active Directory (AD), Lightweight Directory Access Protocol (LDAP), dan Identity as a Service (IDaaS).

    Informasi latar belakang

    Di perusahaan berskala besar, administrator sering kali harus mengelola sejumlah besar pengguna. Untuk meningkatkan efisiensi pengelolaan pengguna, administrator biasanya perlu mengintegrasikan sistem autentikasi identitas yang berbeda guna mengelola pengguna secara terpusat. Bastionhost berfungsi sebagai platform manajemen O&M terpusat yang dapat dihubungkan dengan berbagai sumber autentikasi identitas untuk membantu perusahaan mengurangi biaya pengelolaan pengguna secara signifikan.

    Solusi

    Bastionhost berfungsi sebagai platform manajemen keamanan O&M terpusat yang memungkinkan Anda mengelola pengguna dari berbagai sumber autentikasi identitas. Anda dapat membuat pengguna langsung di Bastionhost atau mengimpor pengguna dari RAM, AD, dan LDAP ke Bastionhost, serta mengintegrasikan Bastionhost dengan IDaaS untuk mengelola pengguna dengan identitas yang berbeda. Sebagai contoh, Anda dapat mengimpor pengguna DingTalk dan Azure AD ke instance Employee Identity and Access Management (EIAM) di IDaaS, lalu mendorong pengguna tersebut ke Bastionhost. Dengan cara ini, pengguna yang identitasnya diautentikasi oleh pihak ketiga dapat mengakses aset melalui portal O&M Bastionhost.

    Catatan

    • Pengguna IDaaS tidak dapat menggunakan klien untuk melewati autentikasi berbasis kata sandi untuk masuk ke host bastion dan kemudian melakukan O&M aset. Untuk menggunakan host bastion dalam melakukan O&M aset, pengguna IDaaS harus menggunakan klien untuk melewati autentikasi berbasis token O&M atau menggunakan portal O&M. Untuk informasi lebih lanjut, lihat Manual O&M.

    • Untuk informasi lebih lanjut tentang sumber autentikasi identitas yang dapat dikaitkan dengan IDaaS, lihat IdPs. Jika sumber autentikasi identitas tidak didukung, Anda dapat mengaktifkan Single Sign-On (SSO) untuk instance di AWS, host bastion, dan aplikasi lain setelah membuat pengguna IDaaS. Untuk informasi lebih lanjut tentang cara mengonfigurasi SSO, lihat Buat Aplikasi.

    Impor pengguna dari sumber autentikasi identitas yang ada ke Bastionhost

    Impor pengguna RAM

    1. Masuk ke Konsol Bastionhost dan pilih wilayah tempat host bastion Anda diterapkan di bilah navigasi atas.

    2. Dalam daftar host bastion, temukan instance target dan klik Manage.

    3. Di panel navigasi kiri, pilih Users > Users.

    4. Di halaman Users, klik Import RAM Users.

    5. Opsional. Jika tidak ada pengguna RAM yang dibuat, klik Create RAM User di kotak dialog Import RAM Users dan buat pengguna RAM sesuai petunjuk.

      Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.

    6. Di kotak dialog Import RAM Users, klik Import di kolom Actions dari pengguna RAM yang ingin Anda impor. Jika Anda ingin mengimpor beberapa pengguna RAM sekaligus, pilih pengguna RAM tersebut dan klik Import di bawah daftar.

      Catatan

      Untuk mengaktifkan autentikasi dua faktor untuk pengguna RAM, masuk ke Konsol RAM dan aktifkan autentikasi multi-faktor (MFA). Untuk informasi lebih lanjut, lihat Mengikat Perangkat MFA ke Akun Alibaba Cloud.

    Buat pengguna lokal

    1. Masuk ke Konsol Bastionhost dan pilih wilayah tempat host bastion Anda diterapkan di bilah navigasi atas.

    2. Dalam daftar host bastion, temukan instance target dan klik Manage.

    3. Di panel navigasi kiri, pilih Users > Users.

    4. Di halaman Users, buat satu pengguna lokal atau impor beberapa pengguna lokal dari file berdasarkan langkah-langkah yang dijelaskan dalam tabel berikut.

      Skenario

      Prosedur

      Buat satu pengguna lokal

      1. Pilih Import Other Users > Create User.

      2. Di panel Create User, konfigurasikan informasi pengguna dan klik Create.

        Ketika Anda mengonfigurasi informasi pengguna, Anda harus menetapkan Authentication Method menjadi Local Authentication. Selain mengonfigurasi informasi dasar, Anda dapat mengonfigurasi pengaturan berikut:

        • Pilih Users must reset the password at next logon.: Jika Anda memilih parameter ini, pengguna lokal harus mereset kata sandi pada masuk berikutnya. Parameter ini hanya valid untuk pengguna lokal.

        • Tentukan Validity Period: Setelah periode validitas yang Anda tentukan untuk pengguna lokal berakhir, nilai di kolom Status pengguna lokal berubah menjadi Expired. Insinyur O&M tidak dapat menggunakan pengguna lokal untuk masuk ke host bastion.

        • Konfigurasikan Two-factor Authentication Methods: Jika Anda mengaktifkan Metode Autentikasi Dua Faktor, pengguna lokal harus memasukkan kode verifikasi dinamis yang dikirim melalui pesan teks, email, atau DingTalk setelah pengguna lokal memasukkan kata sandi yang valid. Ini membantu mengurangi risiko keamanan.

          Catatan

          • Jika Anda mengaktifkan Metode Autentikasi Dua Faktor untuk pengguna lokal, pengguna lokal harus memasukkan kode verifikasi dinamis yang dikirim melalui pesan teks atau email ketika pengguna lokal mencoba masuk ke host bastion. Pastikan Anda memasukkan nomor telepon seluler atau alamat email yang valid dari pengguna lokal. Untuk informasi lebih lanjut tentang negara dan wilayah yang mendukung autentikasi dua faktor berbasis pesan teks, lihat Negara dan wilayah yang didukung.

          • Nomor telepon seluler dan alamat email yang Anda masukkan hanya digunakan untuk menerima kode verifikasi atau notifikasi peringatan.

          Nilai valid dari Two-factor Authentication Methods:

          • For All Users: menunjukkan bahwa metode autentikasi dua faktor global yang Anda konfigurasikan di halaman System Settings digunakan. Untuk informasi lebih lanjut, lihat Aktifkan autentikasi dua faktor.

          • For Single User: menunjukkan bahwa Anda harus mengonfigurasi metode autentikasi dua faktor tertentu untuk pengguna lokal. Bastionhost mendukung metode autentikasi dua faktor berikut:

            • Disable: Autentikasi dua faktor dinonaktifkan.

            • Text Message: Autentikasi dua faktor dilakukan menggunakan pesan teks. Jika Anda memilih metode ini, Anda harus menentukan nomor telepon seluler pengguna lokal.

            • Email: Autentikasi dua faktor dilakukan menggunakan email. Jika Anda memilih metode ini, Anda harus menentukan alamat email pengguna lokal.

            • DingTalk: Autentikasi dua faktor dilakukan menggunakan notifikasi DingTalk. Jika Anda memilih metode ini, Anda harus menentukan nomor telepon seluler pengguna lokal.

              Catatan

              Jika Anda memilih DingTalk ketika mengaktifkan autentikasi dua faktor, pastikan persyaratan berikut terpenuhi:

              • Nomor telepon seluler pengguna yang melakukan operasi pemeliharaan ditentukan. Untuk informasi lebih lanjut tentang cara menambahkan nomor telepon seluler untuk pengguna, lihat Ubah informasi dasar pengguna lokal.

              • Administrator DingTalk telah membuat aplikasi perusahaan internal dan memberikan aplikasi tersebut Permission To Access The API For Obtaining Member Information Based On Mobile Phone Numbers And Names.

              • AppKey, AppSecret, dan AgentId dari aplikasi perusahaan internal diperoleh.

            • OTP App: Autentikasi dua faktor dilakukan menggunakan token OTP seluler dari pengguna saat ini. Pengguna harus mengikat token OTP terlebih dahulu.

              Catatan

              Jika Anda memilih metode ini, Anda harus mengunduh aplikasi autentikasi TOTP standar, seperti aplikasi Alibaba Cloud. Kemudian, masuk ke portal O&M Bastionhost menggunakan titik akhir publik. Di panel navigasi kiri, klik Security Settings. Pada tab Enable OTP, klik Bind OTP App, lalu pindai kode respons cepat (QR) untuk mengikat token OTP untuk autentikasi. Untuk mendapatkan alamat O&M host bastion, lihat halaman Ringkasan.

          • Konfigurasikan Two-factor Notification Sending Language:

            • Jika Anda memilih For All Users, pengguna saat ini menggunakan bahasa pengiriman notifikasi dua faktor yang dikonfigurasikan di halaman System Settings. Untuk informasi lebih lanjut, lihat Aktifkan autentikasi dua faktor.

            • Jika Anda memilih For Single User, pilih Simplified Chinese atau English sebagai bahasa pengiriman notifikasi dua faktor.

      Impor beberapa pengguna lokal dari file

      1. Pilih Import Users from File dari daftar drop-down Import Other Users.

      2. Klik Download User Template, unduh paket template pengguna ke komputer Anda, dan ekstrak paket tersebut. Kemudian, masukkan informasi tentang pengguna lokal yang ingin Anda impor dalam file template pengguna, dan simpan informasi tersebut.

      3. Di panel Import Local Users, klik Upload untuk mengunggah file template pengguna yang telah Anda edit.

      4. Di kotak dialog Preview, pilih pengguna lokal yang ingin Anda impor dan klik Import.

      5. Di panel Import Local Users, konfirmasi informasi tentang pengguna lokal dan klik Import Local Users.

        Jika Anda memilih Users must reset the password at next logon., semua pengguna lokal yang diimpor harus mereset kata sandi mereka pada masuk berikutnya.

      Catatan

      Pengguna lokal yang ingin Anda impor ditampilkan dalam tabel. Jika beberapa pengguna lokal, misalnya, pengguna pertama, ketiga, dan kelima, memiliki nama pengguna yang sama, host bastion hanya akan mengimpor pengguna kelima. Jika pengguna lokal yang ingin Anda impor memiliki nama pengguna yang sama dengan pengguna yang sudah ada di host bastion, informasi tentang pengguna lokal tersebut tidak akan diimpor. Anda dapat mengklik Details di panel Import Local Users untuk melihat informasi tentang pengguna yang tidak diimpor.

    5. Opsional. Jika Anda ingin host bastion memberi tahu pengguna tentang alamat O&M, tentukan nomor telepon seluler atau alamat email pengguna lokal, dan pilih Send O&M Addresses to User.

    Impor pengguna yang diautentikasi AD atau LDAP

    Sebelum mengimpor pengguna yang diautentikasi AD atau LDAP, pastikan autentikasi AD atau LDAP telah dikonfigurasi. Untuk informasi lebih lanjut, lihat Konfigurasikan Autentikasi AD atau Autentikasi LDAP.

    1. Masuk ke Konsol Bastionhost dan pilih wilayah tempat host bastion Anda diterapkan di bilah navigasi atas.

    2. Dalam daftar host bastion, temukan instance target dan klik Manage.

    3. Di panel navigasi kiri, pilih Users > Users.

    4. Pilih Import Other Users> Import AD Users atau Import LDAP Users

    5. Di kotak dialog Import AD Users atau Import LDAP Users, klik Import di kolom Actions dari pengguna yang diautentikasi AD atau LDAP yang ingin Anda impor.

      Anda juga dapat mengimpor beberapa pengguna yang diautentikasi AD atau LDAP sekaligus.

    Impor pengguna yang diautentikasi IDaaS

    Sebelum mengimpor pengguna yang diautentikasi IDaaS, pastikan autentikasi IDaaS telah dikonfigurasi. Untuk informasi lebih lanjut, lihat Kelola Autentikasi IDaaS.

    Penting

    Pengguna yang diautentikasi IDaaS tidak dapat masuk ke host bastion untuk O&M aset dengan melewati autentikasi berbasis kata sandi pada klien. Untuk menggunakan host bastion, pengguna yang diautentikasi IDaaS harus melewati autentikasi berbasis token O&M pada klien atau menggunakan portal O&M. Untuk informasi lebih lanjut, lihat Manual O&M.

    1. Masuk ke Konsol Bastionhost dan pilih wilayah tempat host bastion Anda diterapkan di bilah navigasi atas.

    2. Dalam daftar host bastion, temukan instance target dan klik Manage.

    3. Di panel navigasi kiri, pilih Users > Users.

    4. Pilih Import Other Users> Import IDaaS User

    5. Di kotak dialog Import IDaaS User, klik Import di kolom Actions dari pengguna yang diautentikasi IDaaS yang ingin Anda impor.

      Anda juga dapat mengimpor beberapa pengguna yang diautentikasi AD atau LDAP sekaligus. Jika tidak ada pengguna yang diautentikasi IDaaS yang ditampilkan di kotak dialog, klik Synchronize.