IDaaS menyediakan manajemen terpadu untuk kredensial dan penyedia kredensial. Kredensial yang tersebar di seluruh kode, konfigurasi, atau dikirim secara manual dipusatkan dan dienkripsi. Akses diberikan kepada aplikasi atau pengguna tertentu berdasarkan prinsip hak istimewa minimal. Aplikasi dapat memperoleh dan menggunakan kredensial tersebut secara aman pada waktu proses melalui antarmuka atau kit pengembangan perangkat lunak (SDK). Pendekatan ini menghindari penyimpanan kredensial dalam teks biasa di disk atau hardcoding, sehingga mengurangi risiko kebocoran serta meningkatkan efisiensi manajemen dan pembaruan kredensial.
Konsep
Mengapa manajemen kredensial diperlukan?
Dalam arsitektur identitas digital, identitas adalah "siapa Anda", sedangkan kredensial adalah bukti digital yang membuktikan "siapa Anda".
Arsitektur mikroservis, ekonomi API, dan model keamanan percaya nol kini telah umum digunakan. Interaksi sistem tidak lagi terbatas pada login pengguna, melainkan sering melibatkan kepercayaan antar mesin atau layanan. Sebagai pusat kepercayaan, salah satu fungsi inti Identity as a Service (IDaaS) adalah menyediakan manajemen siklus hidup penuh yang terpadu untuk kredensial tersebut.
Apa itu kredensial?
Dalam konteks IDaaS, kredensial adalah sekumpulan data atau kunci yang digunakan untuk mengotentikasi identitas suatu entitas, seperti pengguna, perangkat, atau layanan aplikasi.
Anda dapat membandingkan kredensial dengan sertifikat di kehidupan nyata:
Kredensial jangka panjang seperti kartu identitas atau kunci rumah. Masa berlakunya panjang dan dikelola oleh pengguna. Jika hilang, harus dilaporkan dan diganti (rotated).
Kredensial jangka pendek seperti kartu kunci hotel atau tiket konser. Masa berlakunya singkat dan dikeluarkan oleh sistem. Kredensial ini kedaluwarsa secara otomatis dan biasanya mencakup cakupan izin tertentu.
Tabel berikut membandingkan berbagai jenis kredensial.
Atribut | Kredensial jangka panjang | Kredensial jangka pendek |
Contoh khas | API key, AK/SK | JSON Web Token (JWT), OAuth token |
Periode validitas | Jangka panjang, memerlukan rotasi manual | Jangka pendek, kedaluwarsa secara otomatis |
Metode manajemen | Kelola kunci itu sendiri (buat, lihat, cabut) | Kelola aturan penerbitan (algoritma, periode validitas, penerbit) |
Metode perolehan | Diperoleh secara manual dari penerbit kunci dan disimpan di client | Client secara otomatis memperoleh kredensial dari penyedia kredensial menggunakan protokol seperti JWT atau OAuth2 |
Keamanan | Mengandalkan kerahasiaan, risiko kebocoran tinggi | Mengandalkan tanda tangan dan batas waktu, risiko kebocoran dapat dikelola |
Kategorisasi kredensial dalam IDaaS
Untuk mengakomodasi berbagai skenario keamanan, IDaaS mengkategorikan kredensial ke dalam dua antarmuka konfigurasi: credential providers dan credentials. Memahami perbedaan keduanya penting untuk konfigurasi yang tepat.
Credential providers: Mengelola kredensial jangka pendek. Untuk operasi konfigurasi, lihat Kelola credential providers.
Credentials: Mengelola kredensial jangka panjang. Untuk operasi konfigurasi, lihat Kelola credentials.
Akses antarmuka manajemen kredensial
Login ke Application Identity Management Console.
Klik menu EIAM.
Temukan instans EIAM yang dituju, lalu klik Manage pada kolom Actions.
Pada bilah navigasi, klik .
Kelola credential providers
Buat credential provider
Pilih tab Credential Provider.
Arahkan kursor ke Create Credential Provider, lalu pilih OAuth atau JWT.
Lengkapi item konfigurasi berikut.
Item konfigurasi OAuth
Credential Provider Name: Digunakan hanya untuk tampilan di Konsol. Tidak digunakan dalam proses autentikasi sesungguhnya.
Description: Deskripsi tentang credential provider. Tidak digunakan dalam proses autentikasi sesungguhnya.
Credential Provider Identifier: Pengenal unik untuk credential provider.
Client ID: Pengenal client yang diberikan oleh penyedia kredensial OAuth. IDaaS menggunakan pengenal ini saat mengirim permintaan ke penyedia OAuth.
Client Secret: Kunci client yang digunakan bersama Client ID. Kunci ini dihasilkan oleh penyedia kredensial OAuth. IDaaS menggunakan kunci ini saat mengirim permintaan ke penyedia OAuth.
Token Endpoint: Titik akhir token. IDaaS menggunakan titik akhir ini untuk menukar authorization code menjadi token dari penyedia kredensial OAuth.
Scope: Izin default untuk aplikasi client. Tekan Enter setelah mengetik untuk menambahkan scope. Anda dapat menambahkan beberapa scope. Jika aplikasi client menentukan scope dalam permintaannya, scope tersebut yang digunakan. Jika aplikasi client tidak menentukan scope, scope yang dikonfigurasi di sini yang digunakan.
Item konfigurasi JWT
Credential Provider Name: Digunakan hanya untuk tampilan di Konsol. Tidak digunakan dalam proses autentikasi sesungguhnya.
Description: Deskripsi tentang credential provider. Tidak digunakan dalam proses autentikasi sesungguhnya.
Credential Provider Identifier: Pengenal unik untuk credential provider.
Generate Short Token: Jika diaktifkan, token pendek akan dihasilkan selain token dalam format JWT standar saat credential provider ini dipanggil untuk menghasilkan token.
Jwt Token Expiration: Periode validitas token. Anda dapat mengaturnya dalam satuan menit, jam, atau hari.
Issuer Whitelist: Untuk membatasi penerbit (issuer) kustom dalam permintaan JWT, Anda dapat mengonfigurasi daftar putih penerbit. Setelah daftar putih dikonfigurasi, permintaan JWT dari penerbit yang tidak ada dalam daftar akan ditolak.
Lihat credential provider
Pilih tab Credential Provider.
Klik Details pada kolom Actions untuk credential provider yang dituju guna melihat informasi detailnya.
Ubah penyedia kredensial
Pilih tab Credential Provider.
Klik Edit pada kolom Actions untuk credential provider yang dituju guna mengubahnya.
Hapus credential provider
Credential provider harus dinonaktifkan terlebih dahulu sebelum dapat dihapus.
Pilih tab Credential Provider.
Pada kolom Status, nonaktifkan credential provider yang dituju.
Klik Delete pada kolom Actions untuk menghapus credential provider tersebut.
Mengelola kredensial
Buat credential
Anda dapat menghosting kredensial aplikasi pihak ketiga di IDaaS. Secara default, kredensial disimpan dalam format terenkripsi.
Lakukan langkah-langkah berikut:
Klik tab Credential.
Arahkan kursor ke Create Credential, lalu pilih API Key.
Lengkapi informasi konfigurasi berikut:
Credential Name: Digunakan hanya untuk tampilan di Konsol.
Description: Deskripsi kredensial.
Business Type: Pilih Large Language Model (LLM) atau Third-Party Service. Opsi ini sesuai dengan node Large Language Model (LLM) dan Third-Party Service dalam Panduan konfigurasi keamanan identitas agen.
API key ID: Pengenal unik untuk kunci API yang dihosting.
API Key: Kunci API yang dihosting.
Secure Storage: Default Encrypted Credential. Kredensial disimpan di Alibaba Cloud KMS Secrets Manager. Opsi ini tidak dapat dibatalkan.
Lihat credential
Klik tab Credential.
Klik tombol Details pada kolom Actions untuk credential yang dituju guna melihat informasi detailnya.
Ubah kredensial
Klik tab Credential.
Untuk mengubah credential yang dituju, klik Edit pada kolom Actions-nya.
PentingKarena alasan keamanan, konten asli API Key tidak ditampilkan selama pengeditan. Anda dapat membiarkannya kosong untuk mempertahankan kunci yang ada, atau memasukkan nilai baru untuk menimpanya.
Hapus credential
Credential harus dinonaktifkan terlebih dahulu sebelum dapat dihapus.
Klik tab Credential.
Pada kolom Status, nonaktifkan credential yang dituju.
Klik Delete pada kolom Actions untuk menghapus credential tersebut.
FAQ
Pertanyaan: Saat saya mengakses antarmuka manajemen kredensial, muncul pesan "You cannot host credentials in KMS Secrets Manager because the required IDaaS EIAM service-linked role is missing. Go to create".
Solusi: Klik Create seperti yang diminta. Setelah Anda memberikan izin yang diperlukan, Anda dapat membuat kredensial. Jika tidak, kesalahan akan terjadi saat Anda mencoba membuat kredensial.