All Products
Search

This Product

    Identity as a Service:Titik akhir akses jaringan

    Document Center

    Identity as a Service:Titik akhir akses jaringan

    Last Updated:Jun 22, 2026

    Topik ini menjelaskan konsep, konfigurasi, dan kasus penggunaan umum titik akhir akses jaringan.

    Pendahuluan

    Titik akhir akses jaringan menyediakan konektivitas jaringan untuk instans IDaaS EIAM. Titik akhir dikategorikan menjadi Dedicated Network Access Endpoint dan Shared Network Access Endpoint. Dedicated Network Access Endpoint harus dibeli sebelum digunakan (Billing for dedicated network access endpoints), sedangkan Shared Network Access Endpoint tidak dikenai biaya.

    1. Dedicated Network Access Endpoint

      Dedicated Network Access Endpoint adalah titik akhir akses jaringan yang eksklusif untuk instans EIAM Anda. Pada dasarnya, titik akhir ini merupakan ENI yang dipegang oleh instans EIAM Anda di VPC Anda. Anda dapat mengonfigurasi aturan security group atau pengaturan jaringan untuk ENI ini guna menerapkan akses jaringan pribadi atau publik khusus untuk instans EIAM.

      1. Dedicated private network access

        Saat terhubung ke VPC Anda melalui jaringan pribadi, instans IDaaS EIAM Anda dapat melakukan sinkronisasi data dan menjalankan autentikasi terdelegasi untuk layanan seperti AD atau LDAP tanpa mengekspos port publik. Tabel berikut menggunakan AD sebagai contoh untuk menunjukkan cara mengonfigurasi kontrol akses jaringan untuk topologi jaringan yang berbeda.

        AD dan ENI dalam VPC yang sama

        Jika server domain AD dan ENI yang dipegang IDaaS EIAM berada dalam VPC yang sama, konfigurasikan daftar kontrol akses jaringan (ACL) Anda sebagai berikut:

        Pada security group server domain AD Anda, izinkan traffic dari alamat IP ENI tersebut.

        AD dan ENI dalam VPC yang berbeda

        Jika server domain AD dan ENI yang dipegang IDaaS EIAM berada dalam VPC yang berbeda, konfigurasikan ACL jaringan Anda sebagai berikut:

        • Hubungkan VPC yang berbeda tersebut menggunakan Cloud Enterprise Network (CEN).

        • Pada security group server domain AD Anda, izinkan traffic dari alamat IP ENI tersebut.

        AD di pusat data lokal atau di penyedia cloud lain

        Jika server domain AD berada di pusat data lokal atau dihosting oleh penyedia cloud lain, konfigurasikan ACL jaringan Anda sebagai berikut:

        • Gunakan jalur sewa, seperti VPN, untuk menghubungkan VPC ke pusat data atau penyedia cloud lain yang menghosting server domain AD.

        • Pada firewall server domain AD, izinkan traffic dari alamat IP ENI tersebut.

      2. Dedicated public network access

        Setelah instans IDaaS EIAM Anda terhubung ke VPC Anda, Anda dapat mengaitkan elastic IP address (EIP) dengan ENI instans IDaaS EIAM atau mengaitkan internet NAT gateway dengan VPC Anda. Hal ini memungkinkan instans IDaaS EIAM mengakses internet menggunakan alamat IP publik Anda. Anda dapat menambahkan alamat IP publik ini ke daftar IP tepercaya di WeCom untuk memenuhi persyaratannya.

    2. Shared Network Access Endpoint

      Titik akhir akses jaringan bersama adalah titik akhir akses jaringan default untuk instans IDaaS EIAM. Titik akhir ini digunakan bersama oleh semua instans IDaaS EIAM dan hanya mendukung akses jaringan publik.

      1. Perbandingan titik akhir

        Kemampuan

        Dedicated Network Access Endpoint

        Shared Network Access Endpoint

        Akses jaringan pribadi dengan alamat IP khusus

        Didukung

        Tidak didukung

        Akses internet dengan alamat IP khusus

        Didukung

        Tidak didukung

        Akses internet dengan alamat IP bersama

        Tidak didukung

        Didukung

        Kepemilikan sumber daya jaringan (ENI, security group, dll.)

        Akun Alibaba Cloud Anda

        Tim IDaaS EIAM

        Tersedia secara default

        Tidak

        Ya

        Tanpa biaya

        Tidak

        Ya

      2. Dukungan titik akhir berdasarkan modul

        Tabel berikut mencantumkan titik akhir yang didukung untuk setiap modul. Secara default, semua modul menggunakan titik akhir akses jaringan bersama. Jika diperlukan titik akhir akses jaringan khusus, Anda harus beralih ke titik akhir tersebut secara manual.

        Modul

        Dedicated Network Access Endpoint - akses pribadi

        Dedicated Network Access Endpoint - akses publik

        Shared Network Access Endpoint - akses publik

        DingTalk inbound identity provider

        Tidak didukung

        Tidak didukung

        Didukung

        DingTalk outbound identity provider

        Tidak didukung

        Tidak didukung

        Didukung

        AD inbound identity provider

        Didukung

        Didukung

        Didukung

        LDAP inbound identity provider

        Didukung

        Didukung

        Didukung

        WeCom inbound identity provider

        Tidak didukung

        Didukung

        Tidak didukung

        Marketplace application

        Belum didukung

        Belum didukung

        Didukung

        SAML application

        • Skema single sign-on (SSO): Tidak bergantung pada Dedicated Network Access Endpoint.

        • Skema sinkronisasi data: Mendukung akses melalui Dedicated Network Access Endpoint.

        Didukung

        OIDC application

        Didukung

        Custom application

        Belum didukung

        Belum didukung

        Didukung

    Tambahkan titik akhir khusus

    Pada tab Network Access Endpoint, lakukan langkah-langkah berikut:

    1. Buat service-linked role (SLR)

      Saat Anda mengakses halaman Network Access Endpoint atau mengklik Add Dedicated Endpoint, jika service-linked role belum ada, Anda harus membuat IDaaS EIAM service-linked role. Hanya Akun Alibaba Cloud atau Pengguna RAM yang memiliki izin AliyunIDaaSEiamFullAccess yang dapat melakukan operasi ini.

      Pada kotak dialog yang muncul, pastikan nama role adalah AliyunServiceRoleForEiam dan kebijakan otorisasi adalah AliyunServiceRolePolicyForEiam, lalu klik Confirm Create.

    2. Tingkatkan atau ubah ukuran instance

      Anda hanya dapat membuat Dedicated Network Access Endpoint jika jumlah Dedicated Network Access Endpoint yang sudah ada untuk instans Anda kurang dari kuota Dedicated Network Access Endpoint. Kuota untuk Dedicated Network Access Endpoint harus dibeli secara terpisah.

      1. Untuk instans gratis atau uji coba, upgrade instans dan beli kuota untuk Dedicated Network Access Endpoint pada halaman pembelian.

      2. Untuk instans enterprise, scale up instans dan beli kuota untuk Dedicated Network Access Endpoint pada halaman pembelian.

      Catatan

      Setiap instans IDaaS EIAM hanya mendukung maksimal satu Dedicated Network Access Endpoint.

    3. Pilih sumber daya

      1. Klik Add Dedicated Endpoint dan konfigurasikan parameter berikut.

        • Display Name: Nama tampilan Dedicated Network Access Endpoint. Nama ini hanya ditampilkan di Konsol.

        • Select Region: Wilayah tempat VPC yang ingin Anda hubungkan berada.

        • Select VPC: VPC di wilayah yang dipilih. Jika Anda memerlukan akses jaringan pribadi ke layanan seperti AD, LDAP, atau aplikasi, pilih VPC tempat layanan tersebut berada atau VPC yang dapat mengakses layanan tersebut.

        • Select vSwitch: vSwitch di VPC yang dipilih. vSwitch harus memiliki lebih dari dua alamat IP tersedia dan tidak boleh menggunakan blok CIDR 100.64.0.0/10. Anda dapat memilih hingga dua vSwitch.

        Penting

        • Setelah Anda menambahkan Dedicated Network Access Endpoint, Anda tidak dapat mengubah wilayah, VPC, atau vSwitch-nya. Verifikasi pengaturan Anda sebelum melanjutkan.

        • Kami sangat menyarankan memilih dua vSwitch di zona ketersediaan yang berbeda untuk meningkatkan toleransi kesalahan.

      2. Setelah Anda mengonfirmasi pengaturan, klik Confirm untuk mulai menambahkan Dedicated Network Access Endpoint.

        Setelah titik akhir dibuat, Anda harus menyelesaikan konfigurasi berikut sebelum dapat menggunakan Dedicated Network Access Endpoint:

        1. Untuk mengaktifkan akses jaringan pribadi khusus, lihat Authorize private network access.

        2. Untuk mengaktifkan akses jaringan publik khusus, lihat Configure a dedicated public egress IP address.

    Otorisasi akses jaringan pribadi

    1. Pada tab Network Access Endpoint, temukan Dedicated Network Access Endpoint yang dituju dan klik Authorize Private Network Access di kolom Actions.

    2. Peroleh aturan akses. Di kotak dialog Authorize Private Network Access, salin Authorization Object. Authorization Object adalah kumpulan semua alamat IP egress pribadi khusus untuk Dedicated Network Access Endpoint saat ini.

    3. Konfigurasikan aturan akses security group. Klik Add untuk membuka halaman Elastic Compute Service (ECS) > Security Group. Pada halaman ini, pilih security group yang berisi layanan yang memerlukan akses jaringan pribadi.

      Catatan

      Untuk AD, pilih security group Anda yang berisi server domain AD, bukan security group yang dibuat oleh IDaaS EIAM. Untuk informasi tentang konfigurasi yang didukung untuk topologi jaringan berbeda, lihat Dedicated private network access.

      1. Klik Security Group ID/Name untuk membuka Add. Pada tab Security Group Details > Inbound, klik Manually Add.

      2. Pada aturan akses baru, konfigurasikan parameter berikut dan simpan aturan tersebut:

        • Action: Allow.

        • Priority: 1.

        • Protocol Type: Custom TCP.

        • Port Range: Masukkan range port untuk layanan Anda. Untuk AD atau LDAP, gunakan port 389 atau 636.

        • Authorization Object: Alamat IP egress pribadi khusus yang Anda salin pada langkah sebelumnya.

    Konfigurasikan IP egress publik khusus

    Konfigurasikan internet NAT gateway agar instans IDaaS EIAM Anda dapat mengakses internet melalui alamat IP publik yang Anda miliki. Anda dapat menambahkan alamat IP publik ini ke daftar IP tepercaya di WeCom untuk memenuhi persyaratan verifikasinya.

    1. Lihat wilayah VPC

      Pada tab Network Access Endpoint, temukan Dedicated Network Access Endpoint yang dituju dan lihat VPC Region-nya.

    2. Bind Elastic IP Address

      1. Buka Konsol VPC - Internet NAT Gateway. Di wilayah yang sama dengan VPC Anda, pilih internet NAT gateway dan klik Associate Now untuk mulai mengaitkan EIP.

        Jika tidak tersedia internet NAT gateway, buat terlebih dahulu. Untuk informasi selengkapnya, lihat Create an internet NAT gateway.

      2. Anda dapat memilih EIP yang sudah ada, atau membeli dan mengaitkan EIP baru.

      3. Setelah pengaitan berhasil, buka halaman Internet NAT Gateway dan klik Instance ID/Name.

        Jika belum ada entri SNAT untuk instans Anda, Anda harus membuatnya terlebih dahulu agar titik akhir akses jaringan khusus dapat mengakses jaringan publik. Untuk informasi selengkapnya, lihat Create and manage SNAT entries.

        Peringatan

        Jika tidak dikonfigurasi entri SNAT, titik akhir akses jaringan khusus tidak dapat mengakses internet.

    3. Pada tab Network Access Endpoint, klik View di kolom Dedicated Outbound Public IP Address untuk melihat alamat IP publik yang digunakan oleh Dedicated Network Access Endpoint.

    Beralih ke titik akhir khusus

    1. Buka halaman IdPs. Temukan IdPs yang dituju, misalnya identity provider AD, lalu klik Modify di kolom Actions untuk mengedit pengaturan dasarnya.

    2. Konfigurasikan Dedicated Network Access Endpoint. Di bagian Network Configurations > Network Access Endpoint:

      1. Pilih jenis Dedicated Network Access Endpoint.

      2. Dari daftar drop-down, pilih titik akhir yang memiliki Dedicated Outbound Public IP Address terkait. Alamat IP tersebut dapat berasal dari ENI atau internet NAT gateway.

    3. Validasi pengiriman. Setelah Anda mengklik Confirm, sistem segera melakukan validasi:

      1. Persyaratan verifikasi: Semua ENI terkait (maksimal dua) harus dapat mengakses layanan AD dengan sukses.

      2. Jika verifikasi berhasil: Sistem secara otomatis beralih ke Dedicated Network Access Endpoint.

      3. Jika verifikasi gagal: Pesan error ditampilkan. Periksa konektivitas jaringan.

    Untuk melihat IP gateway yang digunakan, klik View untuk IP egress publik khusus.

    Penting

    Setelah verifikasi berhasil, sistem segera beralih ke Dedicated Network Access Endpoint. Kami menyarankan Anda melakukan verifikasi terlebih dahulu di Lingkungan pengujian. Saat instans berbayar kedaluwarsa, dirilis, atau dibatalkan langgannya, titik akhir akses jaringan khusus akan langsung menjadi tidak tersedia dan secara otomatis dihapus satu hari kemudian. Jika Anda perlu menggunakan titik akhir akses jaringan bersama atau titik akhir akses jaringan khusus lainnya, Anda harus beralih secara manual. Kami menyarankan Anda memodifikasi daftar izin akses jaringan di layanan Anda sebelum titik akhir tersebut dihapus.

    Ubah Dedicated Network Access Endpoint

    Anda hanya dapat mengubah Display Name dari Dedicated Network Access Endpoint. Untuk mengubah pengaturan lainnya, Anda harus menghapus titik akhir tersebut dan membuat yang baru.