CloudSSO terintegrasi dengan Direktori Sumber Daya Alibaba Cloud untuk menyediakan manajemen identitas multi-akun yang terpusat serta kontrol akses. Anda dapat menggunakan CloudSSO untuk mengelola pengguna perusahaan yang memerlukan akses ke sumber daya Alibaba Cloud dan menetapkan izin akses pada akun dalam direktori sumber daya secara terpusat. Anda juga dapat mengonfigurasi pengaturan sekali saja untuk menerapkan akses Single Sign-On (SSO) ke sumber daya Alibaba Cloud dari penyedia identitas (IdP).
Fitur
Mengizinkan Anda mengelola pengguna yang memerlukan akses ke sumber daya Alibaba Cloud secara terpusat
CloudSSO memungkinkan Anda membuat Direktori CloudSSO untuk mengelola pengguna. Anda dapat mengelola semua pengguna yang memerlukan akses ke sumber daya Alibaba Cloud di direktori tersebut. Pengelolaan dapat dilakukan secara manual atau melalui System for Cross-domain Identity Management (SCIM) untuk menyinkronkan pengguna dan grup dari IdP Anda ke direktori.
Mengizinkan Anda mengonfigurasi akses SSO ke sumber daya Alibaba Cloud dari IdP
Pengguna dalam Direktori CloudSSO dapat menggunakan metode logon nama pengguna-kata sandi dan otentikasi multi-faktor (MFA) untuk mengakses sumber daya Alibaba Cloud. Namun, untuk meningkatkan pengalaman pengguna dan mengurangi risiko, kami merekomendasikan agar Anda mengonfigurasi akses SSO dari IdP. CloudSSO mendukung logon SSO berbasis Security Assertion Markup Language (SAML) 2.0. Anda hanya perlu mengonfigurasi pengaturan sekali di CloudSSO dan IdP untuk menerapkan akses SSO.
Mengizinkan Anda menetapkan izin akses pada akun dalam direktori sumber daya kepada semua identitas CloudSSO secara terpusat
CloudSSO terintegrasi sepenuhnya dengan Direktori Sumber Daya. Anda dapat menetapkan izin akses pada semua anggota dalam direktori sumber daya kepada identitas CloudSSO secara terpusat. Identitas dalam CloudSSO bisa berupa pengguna atau grup. Administrator CloudSSO dapat menentukan identitas yang diizinkan mengakses anggota dalam direktori sumber daya berdasarkan struktur organisasi direktori sumber daya. Administrator dapat menetapkan, memodifikasi, atau menghapus izin akses sesuai kebutuhan.
Menyediakan portal pengguna CloudSSO yang terpadu
CloudSSO menyediakan portal pengguna terpadu. Setelah seorang karyawan perusahaan masuk ke portal pengguna, mereka dapat melihat semua akun yang dapat diakses dalam direktori sumber daya. Karyawan tersebut dapat memilih akun untuk masuk ke Konsol Manajemen Alibaba Cloud dan beralih antar akun sesuai kebutuhan bisnis.
Menyediakan integrasi dengan CLI Alibaba Cloud
CloudSSO terintegrasi dengan Antarmuka Baris Perintah Alibaba Cloud (Alibaba Cloud CLI). Pengguna CloudSSO dapat menggunakan browser atau Alibaba Cloud CLI untuk masuk ke portal pengguna CloudSSO. Setelah masuk, pengguna dapat memilih akun dalam direktori sumber daya dan konfigurasi akses yang diperlukan, lalu menggunakan CLI untuk mengakses sumber daya Alibaba Cloud.
Menyediakan layanan tanpa biaya
Setelah mengaktifkan CloudSSO, Anda dapat menggunakannya secara gratis.
Arsitektur
Pengguna CloudSSO dapat mengakses sumber daya cloud dari akun dalam direktori sumber daya menggunakan metode logon berbasis Pengguna Resource Access Management (RAM) atau metode logon berbasis Peran RAM.
Tabel berikut menjelaskan kedua metode tersebut.
Metode akses | Deskripsi | Skenario | Referensi |
Logon berbasis Peran RAM | Perusahaan dapat menggunakan CloudSSO untuk mengelola pengguna yang diizinkan mengakses sumber daya Alibaba Cloud secara terpusat. Anda dapat membuat dan menetapkan konfigurasi akses untuk mengizinkan pengguna CloudSSO masuk ke Konsol Manajemen Alibaba Cloud menggunakan metode logon SSO dan Peran RAM dalam akun di direktori sumber daya. Dengan cara ini, pengguna CloudSSO dapat mengakses sumber daya cloud akun tersebut sebagai Peran RAM. | Metode ini cocok untuk sumber daya cloud yang dapat diakses dengan mengasumsikan Peran RAM. | |
Logon berbasis Pengguna RAM | Perusahaan dapat menggunakan CloudSSO untuk mengelola pengguna yang diizinkan mengakses sumber daya Alibaba Cloud secara terpusat. Anda dapat membuat provisioning Pengguna RAM untuk mengizinkan pengguna CloudSSO masuk ke Konsol Manajemen Alibaba Cloud menggunakan Pengguna RAM dalam akun di direktori sumber daya. Dengan cara ini, pengguna CloudSSO dapat mengakses sumber daya akun tersebut sebagai Pengguna RAM. | Metode ini cocok untuk sumber daya cloud yang tidak dapat diakses dengan mengasumsikan Peran RAM. |
Jika Anda membuat dan menetapkan konfigurasi akses untuk mengizinkan pengguna CloudSSO mengakses akun dalam direktori sumber daya dan membuat provisioning Pengguna RAM untuk pengguna CloudSSO yang sama, pengguna CloudSSO dapat mengakses sumber daya cloud akun dalam direktori sumber daya menggunakan metode logon berbasis Pengguna RAM dan metode logon berbasis Peran RAM.
Hubungan antara CloudSSO dan RAM
RAM memungkinkan Anda mengelola identitas dan izin dalam satu akun Alibaba Cloud. Anda dapat menggunakan RAM untuk mengonfigurasi SSO, mengelola izin, dan mengelola identitas hanya dalam satu akun Alibaba Cloud. Identitas tersebut bisa berupa pengguna, grup, atau Peran RAM. Jika Anda menggunakan RAM dan beberapa akun Alibaba Cloud dibuat untuk perusahaan Anda, Anda harus mengelola identitas, izin, dan SSO dalam setiap akun secara terpisah, yang dapat menjadi tantangan.
CloudSSO terintegrasi dengan Direktori Sumber Daya dan memungkinkan Anda mengelola identitas dan izin untuk beberapa akun Alibaba Cloud secara terpusat. Anda hanya perlu mengonfigurasi pengaturan di CloudSSO. Setelah dikonfigurasi, Anda dapat mengelola identitas dan izin untuk beberapa akun Alibaba Cloud secara terpusat untuk menerapkan akses SSO. Untuk mencapai manajemen terpusat, Anda dapat menggunakan Direktori CloudSSO yang independen dari RAM untuk mengelola identitas. CloudSSO menggunakan kembali kebijakan sistem dan sintaks kebijakan kustom dalam RAM untuk mengelola izin. Untuk informasi lebih lanjut, lihat Ikhtisar. Ketika pengguna CloudSSO mengakses akun dalam direktori sumber daya, pengguna tersebut mengasumsikan Peran RAM akun tersebut untuk menerapkan akses SSO. Untuk informasi lebih lanjut, lihat Ikhtisar.
Jika Anda menggunakan CloudSSO untuk mengelola identitas dan izin untuk akun dalam direktori sumber daya secara terpusat, Anda tidak perlu menggunakan RAM untuk mengelola izin dalam satu akun Alibaba Cloud. Dalam beberapa kasus, Anda masih dapat menggunakan RAM untuk mengelola izin dalam satu akun Alibaba Cloud. Misalnya, jika Anda telah membuat Pengguna RAM atau Peran RAM, atau perlu memberi otorisasi aplikasi untuk menggunakan pasangan AccessKey guna mengakses sumber daya Alibaba Cloud. CloudSSO tidak memengaruhi fungsionalitas RAM. Anda dapat menggunakan CloudSSO dan RAM bersama-sama.