全部产品
Search

搜索本产品

    Identity as a Service:Titik akhir jaringan

    文档中心

    Identity as a Service:Titik akhir jaringan

    更新时间:Dec 06, 2025

    Topik ini menjelaskan konsep, konfigurasi, dan kasus penggunaan umum titik akhir jaringan.

    Pendahuluan

    Titik akses jaringan adalah layanan yang digunakan oleh instans IDaaS EIAM untuk akses jaringan. Titik akhir diklasifikasikan menjadi Dedicated Network Access Endpoint dan Shared Network Access Endpoint. Anda harus membeli Dedicated Network Access Endpoint sebelum dapat menggunakannya (Billing of dedicated endpoints). Anda dapat menggunakan Shared Network Access Endpoint secara gratis.

    1. Dedicated Network Access Endpoint

      Dedicated Network Access Endpoint adalah titik akhir jaringan eksklusif untuk instans EIAM Anda. Titik akhir ini merupakan elastic network interface (ENI) di virtual private cloud (VPC) Anda. Anda dapat mengatur aturan security group atau konfigurasi jaringan untuk ENI tersebut, sehingga instans EIAM dapat mengakses jaringan pribadi atau Internet melalui titik akhir khusus tersebut.

      1. Akses jaringan pribadi eksklusif

        Setelah instans EIAM terhubung ke VPC Alibaba Cloud Anda melalui jaringan pribadi, Anda dapat menyinkronkan data dari Active Directory (AD), Lightweight Directory Access Protocol (LDAP), dan aplikasi, serta mengaktifkan autentikasi delegasi untuk AD dan LDAP tanpa membuka port publik. Tabel berikut menggunakan AD sebagai contoh untuk menjelaskan metode yang didukung untuk berbagai paket jaringan.

        Server domain AD dan ENI berada dalam VPC Alibaba Cloud yang sama

        Jika server domain AD dan ENI untuk instans EIAM berada dalam VPC Alibaba Cloud yang sama, gunakan metode ACL jaringan berikut:

        Pada security group server domain AD, izinkan akses dari alamat IP ENI.

        Server domain AD dan ENI berada dalam VPC Alibaba Cloud yang berbeda

        Jika server domain AD dan ENI untuk instans EIAM berada dalam VPC Alibaba Cloud yang berbeda, gunakan metode ACL jaringan berikut:

        • Hubungkan VPC Alibaba Cloud yang berbeda menggunakan Cloud Enterprise Network (CEN).

        • Pada security group server domain AD, izinkan akses dari alamat IP ENI.

        AD berada di pusat data lokal atau platform cloud lainnya

        Jika server AD Anda berada di pusat data lokal atau platform cloud lainnya, gunakan metode ACL jaringan berikut:

        • Gunakan jalur sewa, seperti VPN, untuk menghubungkan VPC Alibaba Cloud ke pusat data atau platform cloud tempat server domain AD berada.

        • Pada firewall tempat server domain AD berada, izinkan akses dari alamat IP ENI.

      2. Akses jaringan publik eksklusif

        Setelah instans EIAM terhubung ke VPC Alibaba Cloud Anda melalui jaringan pribadi, Anda dapat mengaitkan Elastic IP Address (EIP) dengan ENI untuk instans EIAM atau mengaitkan Internet NAT gateway dengan VPC Alibaba Cloud Anda. Hal ini memungkinkan instans EIAM menggunakan alamat IP publik Anda untuk mengakses Internet. Anda dapat menambahkan alamat IP publik ini ke daftar putih alamat IP tepercaya WeCom untuk memenuhi persyaratan verifikasi WeCom.

    2. Shared Network Access Endpoint

      Titik akhir bersama adalah titik akhir jaringan default yang digunakan oleh instans EIAM untuk akses jaringan. Semua instans EIAM berbagi titik akhir ini, yang hanya mendukung akses jaringan publik.

      1. Perbandingan kedua jenis titik akhir

        Tabel berikut membandingkan fitur-fitur titik akhir khusus dan titik akhir bersama.

        Kemampuan

        Dedicated Network Access Endpoint

        Shared Network Access Endpoint

        Akses jaringan pribadi menggunakan alamat IP khusus

        Didukung

        Tidak didukung

        Akses jaringan publik menggunakan alamat IP khusus

        Dukungan

        Tidak didukung

        Akses jaringan publik menggunakan alamat IP bersama

        Tidak didukung

        Didukung

        Kepemilikan sumber daya titik akhir (seperti ENI dan security group)

        Akun Alibaba Cloud Anda

        Tim IDaaS

        Apakah tersedia secara default?

        Tidak

        Ya

        Apakah gratis?

        Tidak

        Ya

      2. Status dukungan titik akhir

        Tabel berikut menunjukkan status dukungan titik akhir untuk setiap modul fungsional. Secara default, setiap modul menggunakan titik akhir bersama. Untuk mengubah titik akhir, Anda harus melakukan Alih manual.

        Modul fungsional

        Dedicated Network Access Endpoint - Akses jaringan pribadi

        Dedicated Network Access Endpoint - Akses jaringan publik

        Shared Network Access Endpoint - Akses jaringan publik

        DingTalk inbound identity provider

        Tidak didukung

        Tidak didukung

        Dukungan

        DingTalk outbound identity provider

        Tidak didukung

        Tidak didukung

        Didukung

        AD inbound identity provider

        Didukung

        Didukung

        Didukung

        LDAP inbound identity provider

        Didukung

        Didukung

        Didukung

        WeCom inbound identity provider

        Tidak didukung

        Didukung

        Tidak didukung

        Marketplace application

        Belum didukung

        Belum didukung

        Didukung

        SAML application

        Belum didukung

        Belum didukung

        Didukung

        OIDC application

        Belum didukung

        Belum didukung

        Dukungan

        Custom application

        Belum didukung

        Belum didukung

        Didukung

    Tambahkan titik akhir khusus

    Pada tab Network Access Endpoint, lakukan langkah-langkah berikut:

    1. Buat peran terkait layanan (SLR)

      Jika peran terkait layanan (SLR) belum ada saat Anda membuka halaman Network Access Endpoint atau mengklik Add Dedicated Endpoint, Anda harus terlebih dahulu membuat peran terkait layanan IDaaS EIAM. Hanya Akun Alibaba Cloud atau pengguna dengan izin AliyunIDaaSEiamFullAccess yang dapat melakukan tindakan ini.

      image..png

    2. Upgrade atau scale up instans

      Anda hanya dapat membuat Dedicated Network Access Endpoint jika jumlah titik akhir khusus yang sudah ada untuk instans tersebut kurang dari kuota yang ditentukan. Anda harus membeli kuota Dedicated Network Access Endpoint secara terpisah.

      1. Untuk instans Edisi Gratis atau uji coba, upgrade instans dan beli kuota Dedicated Network Access Endpoint pada halaman pembelian.

      2. Untuk instans Perusahaan, scale up instans dan beli kuota Dedicated Network Access Endpoint pada halaman pembelian.

      Catatan

      Setiap instans EIAM mendukung maksimal satu Dedicated Network Access Endpoint.

    3. Pilih sumber daya

      1. Klik Add Dedicated Endpoint dan isi informasi yang diperlukan.

        • Display Name: Nama tampilan Dedicated Network Access Endpoint. Nama ini hanya ditampilkan di Konsol.

        • Select Region: Pilih wilayah tempat VPC yang ingin Anda hubungkan berada.

        • Select VPC: Pilih VPC di wilayah saat ini. Untuk mengakses layanan seperti AD, LDAP, atau aplikasi melalui jaringan pribadi, pilih VPC tempat layanan tersebut berada atau VPC yang dapat mengakses layanan tersebut.

        • Select vSwitch: Pilih vSwitch di VPC saat ini. Jumlah alamat IP yang tersedia untuk setiap vSwitch harus lebih dari 2. Anda dapat memilih maksimal dua vSwitch.

        Penting

        • Setelah menambahkan Dedicated Network Access Endpoint, Anda tidak dapat mengubah informasi seperti wilayah, VPC, dan vSwitch. Pastikan informasi tersebut sebelum melanjutkan.

        • Kami sangat menyarankan Anda memilih dua vSwitch di zona berbeda untuk meningkatkan disaster recovery.

      2. Setelah mengonfirmasi informasi, klik Confirm untuk mulai menambahkan Dedicated Network Access Endpoint.

        Setelah titik akhir ditambahkan, Anda harus melakukan konfigurasi berikut sebelum dapat menggunakan Dedicated Network Access Endpoint:

        1. Untuk mengaktifkan akses jaringan pribadi eksklusif, lihat Authorize private network access.

        2. Untuk mengaktifkan akses jaringan publik eksklusif, lihat Configure a dedicated public egress IP address.

    Autorisasi akses jaringan pribadi

    1. Pada tab Network Access Endpoint, temukan Dedicated Network Access Endpoint yang dituju dan klik Authorize Private Network Access.

    2. Dapatkan aturan akses. Di kotak dialog Authorize Private Network Access, salin Authorization Object. Authorization Object berisi semua alamat IP egress pribadi eksklusif untuk Dedicated Network Access Endpoint saat ini.

    3. Konfigurasikan aturan akses security group. Klik Add untuk menuju ke halaman Elastic Computing Service > Security Groups. Di halaman ini, pilih security group tempat layanan yang memerlukan akses jaringan pribadi berada.

      Catatan

      Sebagai contoh, untuk AD, pilih security group tempat server domain AD berada, bukan security group yang dibuat oleh EIAM. Untuk informasi tentang metode yang didukung untuk berbagai paket jaringan, lihat Exclusive private network access.

      1. Klik Security Group ID/Name untuk menuju ke halaman detail Security Group. Pada tab Access Rule > Inbound, klik Add Rule.

      2. Pada aturan akses baru, isi informasi berikut dan simpan:

        • Kebijakan Otorisasi: Allow.

        • Prioritas: 1.

        • Jenis Protokol: Custom TCP.

        • Range Port: Masukkan range port untuk layanan Anda. Jika Anda menghubungkan ke AD atau LDAP, gunakan 389 atau 636.

        • Otorisasi Objek: Alamat IP egress pribadi eksklusif yang telah Anda salin pada langkah sebelumnya.

    Konfigurasikan alamat IP egress publik khusus

    Konfigurasikan Internet NAT gateway agar instans EIAM dapat mengakses jaringan publik melalui alamat IP yang Anda tentukan. Anda dapat menambahkan alamat IP publik ini ke daftar putih alamat IP tepercaya WeCom untuk memenuhi persyaratan verifikasi WeCom.

    1. Lihat wilayah titik akhir khusus

      Pada tab Network Access Endpoint, temukan Dedicated Network Access Endpoint yang dituju dan lihat VPC Region-nya.

    2. Kaitkan Elastic IP Address

      1. Buka konsol VPC - Internet NAT Gateway. Pilih Internet NAT gateway di wilayah yang sama dengan VPC dan klik Associate Now untuk mengaitkan EIP.

        Jika tidak ada sumber daya yang tersedia, buat Internet NAT gateway terlebih dahulu. Untuk informasi selengkapnya, lihat Create an Internet NAT gateway.

      2. Anda dapat memilih EIP yang sudah ada atau membeli dan mengaitkan EIP baru.

      3. Setelah pengaitan berhasil, buka halaman Internet NAT Gateway dan klik Instance ID/Name.

        Jika instans Anda saat ini tidak memiliki entri SNAT, buat satu untuk mengaktifkan akses jaringan publik bagi titik akhir khusus. Untuk informasi selengkapnya, lihat Create and manage SNAT entries.

        Peringatan

        Jika Anda tidak mengonfigurasi entri SNAT, titik akhir khusus tidak dapat mengakses jaringan publik.

    3. Pada tab Network Access Endpoint, di kolom Dedicated Outbound Public IP Address, klik View untuk melihat alamat IP publik yang digunakan oleh Dedicated Network Access Endpoint saat ini.

    Alih ke titik akhir khusus

    1. Buka halaman IdPs dan klik Modify untuk IdPs yang dituju. Topik ini menggunakan domain Active Directory (AD) sebagai contoh.

    2. Konfigurasikan Dedicated Network Access Endpoint di bagian Network Configurations > Network Access Endpoint.

      1. Pilih tipe Dedicated Network Access Endpoint.

      2. Dari daftar drop-down, pilih titik akhir yang memiliki Dedicated Outbound Public IP Address yang terpasang. Alamat IP tersebut dapat berasal dari ENI atau Internet NAT gateway.

    3. Kirim untuk verifikasi. Klik Confirm. Sistem akan langsung memverifikasi hal berikut:

      1. Persyaratan verifikasi: Semua ENI terkait (maksimal dua) harus dapat mengakses layanan AD dengan sukses.

      2. Jika verifikasi berhasil: Sistem secara otomatis beralih ke Dedicated Network Access Endpoint.

      3. Jika verifikasi gagal: Pesan error muncul. Anda harus memeriksa konektivitas jaringan.

    Anda dapat mengklik alamat IP egress publik khusus untuk melihat alamat IP gateway yang digunakan.

    Penting

    Setelah verifikasi berhasil, sistem langsung beralih ke Dedicated Network Access Endpoint untuk akses. Kami menyarankan Anda melakukan verifikasi terlebih dahulu di lingkungan staging. Saat instans berbayar kedaluwarsa dan dirilis, atau saat Anda berhenti berlangganan, titik akhir khusus langsung menjadi tidak tersedia dan secara otomatis dihapus satu hari kemudian. Untuk menggunakan titik akhir bersama atau titik akhir khusus lainnya, Anda harus melakukan Alih manual. Kami menyarankan Anda memodifikasi konfigurasi daftar putih akses jaringan di layanan Anda sebelum menghapus titik akhir tersebut.

    Ubah Dedicated Network Access Endpoint

    Anda hanya dapat mengubah Display Name dari Dedicated Network Access Endpoint. Untuk mengubah informasi lainnya, Anda harus menghapus titik akhir tersebut dan mengonfigurasi yang baru.