Anda dapat mengimplementasikan Single Sign-On (SSO) berbasis pengguna atau SSO berbasis peran untuk masuk ke Konsol Manajemen Alibaba Cloud dari penyedia identitas (IdP) perusahaan Anda. SSO juga dikenal sebagai federasi identitas.
Informasi latar belakang
Alibaba Cloud mendukung SSO berbasis Security Assertion Markup Language (SAML) 2.0, yang juga dikenal sebagai federasi identitas. Untuk membantu Anda memahami SSO lebih baik, tabel berikut menjelaskan istilah terkait SAML dan SSO.
Istilah | Deskripsi |
penyedia identitas (IdP) | Entitas RAM yang menyediakan layanan manajemen identitas. IdP diklasifikasikan ke dalam jenis-jenis berikut:
|
penyedia layanan (SP) | Aplikasi yang menggunakan fitur manajemen identitas dari IdP untuk memberikan layanan tertentu kepada pengguna. SP menggunakan informasi pengguna yang disediakan oleh IdP. Dalam sistem identitas tertentu, seperti OIDC, yang tidak didasarkan pada protokol SAML, SP dikenal sebagai pihak yang bergantung pada IdP. |
Bahasa Markup Penegasan Keamanan 2.0 (SAML 2.0) | Protokol yang dirancang untuk otentikasi identitas pengguna tingkat perusahaan. SAML 2.0 digunakan untuk komunikasi antara SP dan IdP. SAML 2.0 adalah standar yang digunakan perusahaan untuk mengimplementasikan SSO tingkat perusahaan. |
Pernyataan SAML | Elemen inti yang didefinisikan dalam protokol SAML. Elemen ini menjelaskan permintaan dan respons otentikasi. Sebagai contoh, pernyataan SAML untuk respons otentikasi dapat berisi atribut pengguna. |
kepercayaan | Hubungan kepercayaan timbal balik antara SP dan IdP. Dalam sebagian besar kasus, hubungan kepercayaan dibangun menggunakan kunci publik dan privat. SP dapat memperoleh metadata SAML dari IdP yang tepercaya. Metadata tersebut mencakup kunci publik. SP menggunakan kunci publik untuk memverifikasi integritas pernyataan SAML yang dikeluarkan oleh IdP. |
OIDC | Protokol otentikasi yang dikembangkan berdasarkan Open Authorization (OAuth) 2.0. Untuk informasi lebih lanjut, lihat OIDC dan OAuth 2.0. OAuth adalah protokol otorisasi. OIDC menambahkan lapisan identitas untuk memperluas OAuth. Dengan cara ini, OIDC dapat menggunakan OAuth untuk otorisasi. OIDC juga memungkinkan klien memverifikasi identitas pengguna dan menggunakan API RESTful HTTP untuk mendapatkan informasi dasar tentang pengguna. |
Token OIDC | Token identitas yang dikeluarkan oleh OIDC ke aplikasi. Token OIDC adalah token identitas yang menunjukkan pengguna yang masuk. Token OIDC dapat digunakan untuk mendapatkan informasi dasar tentang pengguna yang masuk. |
ID klien | ID yang dihasilkan untuk aplikasi saat Anda mendaftarkan aplikasi di IdP eksternal. Saat Anda mengajukan token OIDC dari IdP eksternal, Anda harus menggunakan ID klien. ID klien ditentukan dalam bidang |
sidik jari | Sidik jari yang dihasilkan berdasarkan sertifikat HTTPS dari IdP eksternal. Anda dapat menggunakan sidik jari untuk mencegah URL penerbit diretas atau dimanipulasi. Alibaba Cloud menghitung sidik jari. Kami sarankan Anda menghitung sidik jari di komputer Anda. Sebagai contoh, Anda dapat menggunakan OpenSSL untuk mendapatkan sidik jari IdP OIDC. Untuk informasi lebih lanjut, lihat Gunakan OpenSSL untuk mendapatkan sidik jari IdP OIDC. Kemudian, Anda dapat membandingkan hasil perhitungan dengan hasil perhitungan yang disediakan oleh Alibaba Cloud. Untuk informasi lebih lanjut tentang OpenSSL, kunjungi situs resmi OpenSSL. Jika hasil perhitungan berbeda, URL penerbit mungkin telah diserang. Pastikan Anda memasukkan sidik jari yang valid. |
URL penerbit | URL penerbit yang disediakan oleh IdP eksternal. URL ditunjukkan oleh bidang |
Token STS | Kredensial identitas sementara yang disediakan oleh Layanan Token Keamanan Alibaba Cloud (STS). STS memungkinkan Anda mengelola kredensial sementara untuk sumber daya Alibaba Cloud Anda. Anda dapat mengonfigurasi periode validitas dan menentukan izin akses untuk token STS. Untuk informasi lebih lanjut tentang STS, lihat Apa itu STS? |
Metode SSO
Anda dapat mengimplementasikan SSO antara Alibaba Cloud dan IdP Anda, seperti AD FS, berdasarkan SAML 2.0. Alibaba Cloud menyediakan dua metode SSO berbasis SAML 2.0 berikut:
SSO berbasis pengguna: Pengguna RAM yang digunakan untuk masuk ke Konsol Manajemen Alibaba Cloud ditentukan berdasarkan pernyataan SAML. Setelah masuk, Anda dapat mengakses sumber daya Alibaba Cloud sebagai pengguna RAM.
SSO berbasis peran: Peran RAM yang digunakan untuk masuk ke Konsol Manajemen Alibaba Cloud ditentukan berdasarkan pernyataan SAML. Setelah masuk, Anda dapat menggunakan Peran RAM yang ditentukan dalam pernyataan SAML untuk mengakses sumber daya Alibaba Cloud.
Untuk informasi lebih lanjut tentang perbedaan antara kedua metode SSO, lihat Skenario SSO.
Implementasikan SSO berbasis pengguna atau peran
SSO berbasis pengguna: Untuk informasi lebih lanjut, lihat Ikhtisar SSO Berbasis Pengguna.
Contoh berikut menjelaskan cara mengimplementasikan SSO berbasis pengguna antara layanan perusahaan Anda dan Alibaba Cloud dengan menggunakan IdP seperti AD FS, Okta, dan Azure AD:
SSO berbasis peran: Untuk informasi lebih lanjut, lihat Ikhtisar.
Contoh berikut menjelaskan cara mengimplementasikan SSO berbasis peran antara layanan perusahaan Anda dan Alibaba Cloud dengan menggunakan IdP seperti AD FS, Okta, dan Azure AD:
Tambahkan pengguna RAM
Setelah SSO dikonfigurasi, tambahkan pengguna RAM lain yang ingin menggunakan DMS ke konsol DMS sekaligus sebagai administrator DMS. Untuk menambahkan pengguna RAM, lakukan langkah-langkah berikut: Masuk ke konsol DMS. Di bilah navigasi atas, pilih . Pada tab Pengguna, klik Synchronize RAM User. Untuk informasi lebih lanjut, lihat Tambahkan Pengguna.
Pengguna RAM yang memiliki izin AdministratorAccess secara otomatis diinisialisasi sebagai administrator DMS. Pengguna RAM lainnya diinisialisasi sebagai pengguna biasa. Untuk informasi lebih lanjut tentang peran sistem DMS, lihat Peran Sistem.
Contoh
Contoh berikut menunjukkan cara mengimplementasikan SSO antara layanan perusahaan Anda dan Alibaba Cloud dengan menggunakan AD FS.
Buka halaman logon Alibaba Cloud dan klik Sign in as RAM User.
Masukkan nama pengguna Pengguna RAM dan klik Next.
Masuk ke Alibaba Cloud sesuai petunjuk.
Di tab Ikhtisar Konsol Manajemen Alibaba Cloud, klik Data Management.
Anda akan diarahkan ke konsol DMS.