Topik ini menjelaskan cara mengonfigurasi dan menggunakan nama domain kustom.
Pengenalan
Fitur nama domain kustom memungkinkan Anda menggunakan nama domain Anda sendiri untuk halaman IDaaS EIAM, seperti halaman logon dan portal pengguna. Ini membantu menjaga konsistensi merek.
Dengan menyiapkan layanan proxy domain, Anda juga dapat mengelola izin akses pengguna ke IDaaS EIAM. Sebagai contoh, Anda dapat mengizinkan hanya pengguna dengan alamat IP tertentu untuk masuk ke portal aplikasi.
Istilah
Istilah | Deskripsi |
Nama domain inisialisasi | Nama domain yang dihasilkan oleh sistem saat Anda membuat instans IDaaS EIAM, seperti xxxx.aliyunidaas.com. |
Nama domain kustom | Nama domain yang Anda miliki dan tambahkan ke instans IDaaS EIAM Anda, seperti xxxx.example.com. |
Nama domain default | Nama domain yang digunakan secara default oleh instans IDaaS EIAM. Anda harus memilih antara nama domain inisialisasi atau nama domain kustom. Jika Anda mengaktifkan pengalihan otomatis, mengakses nama domain inisialisasi akan mengarahkan Anda ke nama domain default. |
Fitur yang terpengaruh
Nama domain kustom memengaruhi fitur-fitur berikut. Anda harus menyesuaikan konfigurasinya sebelum atau setelah menyiapkan nama domain kustom.
Objek yang terpengaruh | Fitur | Deskripsi |
Portal pengguna | Halaman logon | Alamat halaman logon melibatkan nama domain. |
Portal aplikasi | Alamat portal aplikasi melibatkan nama domain. | |
Penyedia identitas DingTalk - Keluar | Logon kode QR/Workbench SSO | Domain callback DingTalk melibatkan nama domain. Selalu gunakan nama domain inisialisasi. |
SSO ke portal aplikasi IDaaS atau aplikasi | Alamat halaman utama aplikasi melibatkan nama domain. | |
Penyedia identitas WeCom - Masuk | Logon kode QR | Domain yang diakses pengguna (portal pengguna atau alamat untuk akses langsung ke aplikasi custom/OIDC/SAML) harus sama dengan domain callback otorisasi WeCom. Jika tidak, pengguna tidak dapat logon menggunakan kode QR WeCom. |
Logon otorisasi halaman web (Workbench SSO) dan sinkronisasi data sensitif | Domain yang diakses pengguna (portal pengguna atau alamat untuk akses langsung ke aplikasi custom/OIDC/SAML) harus sama dengan domain tepercaya WeCom. Jika tidak, logon otorisasi halaman web WeCom dan sinkronisasi data sensitif tidak akan berfungsi. | |
Aplikasi OIDC/Aplikasi custom | Titik akhir otorisasi | Jika instans hanya memerlukan satu nama domain kustom, gunakan nama domain inisialisasi. Atur nama domain kustom sebagai nama domain default dan aktifkan pengalihan otomatis. Jika Anda tidak mengaktifkan pengalihan, pengguna mungkin perlu logon lagi selama single sign-on. Jika instans memerlukan beberapa nama domain kustom, mereka harus konsisten dengan domain halaman logon pengguna. Jika tidak, pengguna mungkin perlu logon lagi selama single sign-on. |
Titik akhir logout | ||
Aplikasi SAML | Alamat metadata IdP | Jika instans hanya memerlukan satu nama domain kustom, gunakan nama domain inisialisasi. Atur nama domain kustom sebagai nama domain default dan aktifkan pengalihan otomatis. Jika Anda tidak mengaktifkan pengalihan, pengguna mungkin perlu logon lagi selama single sign-on. Jika instans memerlukan beberapa nama domain kustom, mereka harus konsisten dengan domain halaman logon pengguna. Jika tidak, pengguna mungkin perlu logon lagi selama single sign-on. |
Alamat SSO | ||
WebAuthn | Daftarkan autentikator | WebAuthn hanya berfungsi pada domain tempat autentikator didaftarkan. Sebagai contoh, jika seorang pengguna mendaftarkan autentikator A1 pada domain A, mereka tidak dapat menggunakan autentikator A1 untuk logon ke domain B. Mereka harus mendaftarkan autentikator baru pada domain B. Seorang pengguna dapat memiliki beberapa autentikator untuk domain yang berbeda. |
Prasyarat
Persiapkan item berikut terlebih dahulu untuk memastikan proses konfigurasi yang lancar untuk nama domain kustom Anda:
Prasyarat | Deskripsi |
Nama Domain | Persiapkan nama domain khusus untuk IDaaS EIAM. Domain tingkat atas atau domain tingkat kedua direkomendasikan. |
Izin untuk mengelola DNS domain | Anda harus menambahkan satu atau dua Rekaman DNS dengan penyedia DNS Anda, seperti Alibaba Cloud DNS, untuk memverifikasi kepemilikan domain. |
Nomor pendaftaran ICP | Jika situs web Anda dihosting di Daratan Tiongkok, Anda harus menyediakan nomor pendaftaran ICP untuk domain tersebut. |
Izin untuk mengelola layanan proxy domain | Anda harus mengonfigurasi Sertifikat HTTPS domain, back-to-origin HOST, dan informasi lainnya dengan layanan proxy domain Anda, seperti Alibaba Cloud DCDN. |
Instans percobaan atau ditingkatkan | Hanya instans percobaan dan Instans Perusahaan yang mendukung fitur nama domain kustom. Coba instans atau tingkatkan instans Anda. |
Tambahkan nama domain kustom - Konfigurasi Domain
Klik untuk memulai.
Nama domain kustom dapat memengaruhi fitur seperti logon, single sign-on, dan sinkronisasi data. Untuk menghindari gangguan pada bisnis Anda, pahami fitur yang terpengaruh sebelum melanjutkan.
Langkah 1: Masukkan nama domain
Masukkan nama domain kustom, seperti login.example.com. Nama domain ini harus unik secara global di semua instans IDaaS EIAM. Masukkan hanya nama domain itu sendiri, tanpa path atau parameter apa pun. Nama domain dapat berisi huruf kecil, angka, tanda hubung (-), dan titik (.). Panjang maksimum adalah 128 karakter.
Tim IDaaS berkomitmen untuk mengamankan instans Anda. Namun, jika seorang penyerang berhasil meluncurkan serangan Cross-Site Scripting (XSS) pada instans IDaaS EIAM Anda, hal itu dapat menyebabkan serangan Cross-Site Request Forgery (CSRF) pada subdomain lain di bawah domain yang sama. Oleh karena itu, blokir permintaan Cross-Origin Resource Sharing (CORS) dari nama domain kustom, atau gunakan domain tingkat atas terpisah sebagai nama domain kustom Anda.
Langkah 2: Tambahkan rekaman DNS
Pergi ke penyedia DNS domain Anda, seperti Alibaba Cloud DNS, untuk menambahkan rekaman. Langkah ini memverifikasi kepemilikan domain Anda. Untuk instans IDaaS EIAM yang sama dan nama domain kustom, tipe rekaman, nama, dan nilainya tetap. Jika Anda tidak memiliki izin untuk mengelola DNS, Anda dapat meminta pengguna yang berwenang untuk menambahkan rekaman DNS. Setelah rekaman dibuat, Anda dapat menambahkan nama domain kustom.
Topik berikut menjelaskan cara menambahkan rekaman DNS dengan penyedia DNS yang berbeda:
Langkah 3: Masukkan nomor pendaftaran ICP
Menurut Peraturan Administratif tentang Layanan Informasi Internet, jika situs web Anda dihosting di Daratan Tiongkok, Anda harus menyediakan nomor pendaftaran ICP entitas atau situs web. Untuk memenuhi persyaratan kepatuhan, semua instans IDaaS EIAM di wilayah Alibaba Cloud di Daratan Tiongkok harus memiliki nomor ini untuk menggunakan fitur nama domain kustom. Nomor pendaftaran ICP akan ditampilkan di halaman logon instans.
Langkah 4: Selesaikan proses
Setelah Anda mengonfirmasi bahwa informasi sudah benar, klik Complete. Anda juga harus menyelesaikan konfigurasi proxy untuk mengaktifkan nama domain kustom.
Tambahkan nama domain kustom - Konfigurasi Proxy
Ketika pengguna atau aplikasi Anda mengakses IDaaS EIAM melalui nama domain kustom, layanan proxy domain Anda meneruskan permintaan tersebut. Anda harus memastikan ketersediaan proxy. Bagian berikut menjelaskan cara mengonfigurasi layanan proxy.
Alibaba Cloud DCDN
Langkah 1: Tambahkan nama domain
Tambahkan nama domain di halaman Domain Names pada Konsol Alibaba Cloud DCDN.
Nama Domain yang Dipercepat: Nama domain kustom Anda.
Informasi Asal:
Atur Jenis Asal ke Origin Domain Name.
Masukkan nama domain dari informasi asal pada halaman konfigurasi proxy. Ini adalah nama domain inisialisasi instans IDaaS EIAM Anda. Jangan sertakan header protokol https://.
Atur Port ke 443.
Setelah Anda menambahkan nama domain, salin Rekaman CNAME yang disediakan oleh DCDN. Kemudian, tambahkan rekaman CNAME ini ke pengaturan DNS domain Anda. Untuk informasi lebih lanjut, lihat Konfigurasikan Rekaman CNAME.
Langkah 2: Konfigurasikan Sertifikat HTTPS
Di Konsol Alibaba Cloud DCDN, dari halaman Domain Names, navigasikan ke Domain Details Page. Pada tab Configure HTTPS, konfigurasikan sertifikat HTTPS. Untuk informasi lebih lanjut, lihat Konfigurasikan Sertifikat HTTPS.
Langkah 3: Aktifkan back-to-origin HOST
Di halaman detail domain, pada tab Back-to-origin, aktifkan Back-to-origin HOST.
Atur Jenis Nama Domain ke Origin Domain Name. Nama domain inisialisasi instans IDaaS EIAM secara otomatis dipilih.
Langkah 4: Tambahkan header HTTP back-to-origin
Di halaman detail domain, pada tab Back-to-origin, klik Custom Back-to-origin HTTPS Header. Tambahkan IP, Host, Token, dan informasi lainnya yang diberikan oleh IDaaS EIAM. Informasi ini membantu mencegah pemalsuan alamat IP dan meningkatkan keamanan akses.
Setelah konfigurasi selesai, Anda dapat menggunakan fitur Test Connection di Konsol IDaaS EIAM untuk mensimulasikan akses ke nama domain kustom Anda. Perhatikan bahwa Anda dapat menetapkan kebijakan akses untuk domain itu sendiri, seperti hanya mengizinkan akses dari alamat IP tertentu. Oleh karena itu, hasil tes dari IDaaS EIAM hanya untuk Referensi. Anda harus menguji pengaturan dalam lingkungan pengguna simulasi.
Setelah pengujian berhasil, konfirmasikan dan sesuaikan konfigurasi terkait berdasarkan fitur yang terpengaruh. Kemudian, luncurkan nama domain kustom Anda kepada pengguna Anda. Jika Anda mengharapkan pengguna untuk terus mengakses nama domain inisialisasi, aktifkan pengalihan otomatis.
Panduan konfigurasi Nginx
Langkah 1: Instal layanan Nginx yang dikelola sendiri
Instal dari kode sumber
# Unduh paket instalasi
wget http://nginx.org/download/nginx-1.18.0.tar.gz
# Ekstrak paket
tar -zxvf nginx-1.18.0.tar.gz
cd nginx-1.18.0
# Konfigurasikan: Tentukan direktori instalasi Nginx
./configure --prefix=/usr/local/nginx
# Kompilasi dan instal
make && make install
# Setelah instalasi, verifikasi apakah berhasil
cd /usr/local/nginx/sbin
./nginx -t Setelah instalasi selesai, keluaran berikut menunjukkan keberhasilan:
nginx: file konfigurasi /usr/local/nginx//conf/nginx.conf sintaks ok
nginx: file konfigurasi /usr/local/nginx//conf/nginx.conf uji berhasil
Instal pada CentOS/AlmaLinux/RHEL
# Instal repositori EPEL (diperlukan untuk beberapa sistem)
sudo yum install epel-release -y
# Instal Nginx
sudo yum install nginx -y
# Mulai layanan Nginx
sudo systemctl start nginx
# Aktifkan Nginx untuk mulai saat boot
sudo systemctl enable nginx
# Periksa status layanan
sudo systemctl status nginxInstal pada Ubuntu/Debian
# Perbarui daftar paket
sudo apt update
# Instal Nginx
sudo apt install nginx -y
# Mulai layanan Nginx
sudo systemctl start nginx
# Aktifkan Nginx untuk mulai saat boot
sudo systemctl enable nginx
# Periksa status layanan
sudo systemctl status nginxLangkah 2: Modifikasi file konfigurasi Nginx
Lihat Jalur File Konfigurasi Nginx.
nginx -tKonfigurasikan Proxy Domain.
Modifikasi node server di bawah node http dalam file konfigurasi
nginx.conf.Modifikasi konfigurasi reverse proxy untuk meneruskan permintaan dari nama domain kustom, seperti
www.example.com, ke nama domain inisialisasi IDaaS EIAM*****.aliyunidaas.com.server { # Dengarkan port HTTPS dan aktifkan SSL listen 443 ssl; # Konfigurasi domain (domain yang akan diteruskan, yaitu nama domain kustom pengguna) server_name www.example.com; location / { # Alamat target reverse proxy (alamat domain portal pengguna IDaaS yang dikonfigurasi) proxy_pass https://*****.aliyunidaas.com; } }
Konfigurasikan Pengalihan HTTP ke HTTPS.
Ini secara otomatis mengarahkan akses HTTP ke nama domain kustom Anda ke HTTPS, yang meningkatkan keamanan dan optimasi mesin pencari (SEO).
# Blok server HTTP (mendengarkan port 80) server { listen 80; server_name www.example.com; # Konfigurasikan pengalihan permintaan HTTP ke HTTPS location / { return 301 https://$host$request_uri; } }Konfigurasikan Sertifikat SSL.
Siapkan file sertifikat dan unggah ke server Nginx.
Modifikasi file konfigurasi Nginx.
server { # Blok server HTTPS (mendengarkan port 443) listen 443 ssl; server_name www.example.com; # Jalur sertifikat SSL (ganti dengan jalur aktual) ssl_certificate /usr/local/nginx/ssl/www.example.com.crt; ssl_certificate_key /usr/local/nginx/ssl/www.example.com.key; # Konfigurasi SSL (opsional untuk optimasi) ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; }
Konfigurasikan Header Permintaan Back-to-origin IDaaS EIAM.
Modifikasi node server di bawah node http dalam file konfigurasi nginx.conf.
Gunakan proxy_set_header untuk mengatur header permintaan back-to-origin.
# Konfigurasikan header permintaan back-to-origin IDaaS location / { proxy_pass http://***.aliyunidaas.com; # Teruskan alamat IP asli klien proxy_set_header X-IDaas-Client-IP $remote_addr; # Teruskan header host (konfirmasikan nilai Host yang diharapkan oleh layanan target) proxy_set_header X-IDaas-Host eiam-idaas.idpsso.net; # Token otentikasi proxy (harus sesuai dengan konfigurasi sisi server IDaaS) proxy_set_header X-IDaas-Proxy-Token PTC*****************************6j; # Pertahankan header Host asli (opsional) proxy_set_header Host $host; }
Langkah 3: Mulai ulang layanan Nginx
Mulai ulang untuk instalasi dari kode sumber
sudo /usr/local/nginx/sbin/nginx -s reloadMulai ulang untuk instalasi CentOS/AlmaLinux/RHEL
sudo service nginx restartMulai ulang untuk instalasi Ubuntu/Debian
sudo systemctl restart nginxStatus Domain
Karena Anda dapat menetapkan kebijakan akses untuk domain itu sendiri, seperti hanya mengizinkan akses dari alamat IP jaringan kantor, IDaaS EIAM tidak dapat memastikan apakah nama domain kustom berjalan dengan baik. Oleh karena itu, status ketersediaan di Konsol IDaaS EIAM hanya menunjukkan bahwa fitur nama domain kustom telah diaktifkan untuk instans tersebut. Hal ini tidak menjamin bahwa domain dapat diakses. Anda harus memverifikasi bahwa nama domain kustom berjalan dengan benar.
Ubah Nama Domain Default
Nama domain default adalah domain yang digunakan secara default oleh instans. Nama domain ini memiliki dua tujuan:
Jika Anda mengaktifkan fitur Automatic Redirection, pengguna atau aplikasi Anda akan dialihkan secara otomatis ke nama domain default ketika mereka mengakses nama domain inisialisasi.
Nama domain default ditampilkan di beberapa tempat di Konsol, seperti alamat portal pengguna dan alamat masuk.
Jika Anda memilih nama domain kustom sebagai nama domain default dan mengaktifkan pengalihan otomatis, Anda harus mengubah nama domain default secara manual jika nama domain kustom menjadi tidak tersedia, misalnya, ketika instans kedaluwarsa. Jika tidak, pengguna dan aplikasi Anda mungkin tidak dapat mengakses instans tersebut.
Aktifkan pengalihan otomatis
Pengalihan otomatis berarti bahwa ketika pengguna atau aplikasi mengakses nama domain inisialisasi instans, mereka akan dialihkan secara otomatis ke nama domain default. Mengakses nama domain kustom tidak akan memicu pengalihan ke nama domain default. Jika Anda hanya perlu menggunakan satu nama domain kustom, atur sebagai nama domain default dan aktifkan pengalihan otomatis. Ini memungkinkan pengguna Anda untuk menggunakan Single Sign-On (SSO) untuk aplikasi secara mulus, baik mereka mengakses nama domain inisialisasi maupun nama domain kustom, tanpa perlu memodifikasi konfigurasi Single Sign-On aplikasi.
Jika Anda tidak mengaktifkan fitur ini atau perlu menggunakan beberapa nama domain kustom, Anda harus menyesuaikan konfigurasi Single Sign-On aplikasi dan konfigurasi lainnya (lihat Fitur yang Terpengaruh) agar dapat bekerja dengan nama domain kustom. Jika tidak, pengguna mungkin mengalami masalah. Sebagai contoh, pengguna mungkin perlu masuk lagi selama Single Sign-On, atau mereka mungkin tidak dapat masuk menggunakan kode QR WeCom.
Hapus nama domain kustom
Sebelum Anda menghapus nama domain kustom, periksa apakah nama domain tersebut sedang digunakan, misalnya, dalam konfigurasi penyedia identitas atau Single Sign-On (SSO) aplikasi. Waktu terakhir digunakan untuk domain yang ditampilkan di jendela pop-up dapat digunakan sebagai Referensi. Waktu ini sesuai dengan waktu terakhir digunakan dari proxy_token, yang dapat Anda lihat langsung di konfigurasi proxy.
Setelah Anda menghapus nama domain kustom, nama domain tersebut tidak dapat lagi digunakan untuk mengakses instans IDaaS EIAM. Untuk mencegah penerusan domain yang salah, Anda juga harus menghapus konfigurasi terkait dari penyedia DNS dan layanan proxy Anda.