All Products
Search
Document Center

Microservices Engine:Konfigurasikan otentikasi OIDC

Last Updated:Jul 01, 2026

Dengan mengintegrasikan sistem otentikasi perusahaan Anda ke dalam protokol OpenID Connect (OIDC), Anda dapat mengelola otentikasi dan otorisasi untuk layanan internal secara terpusat. Pendekatan ini menyederhanakan proses otentikasi dan mengurangi upaya integrasi berulang. Cloud-native Gateway menyediakan otentikasi terpadu untuk meningkatkan keamanan sistem serta menawarkan konfigurasi kebijakan keamanan yang fleksibel. Integrasi OIDC juga memungkinkan single sign-on (SSO), sehingga Anda dapat mengakses beberapa layanan hanya dengan satu kali login.

Prasyarat

Anda harus memiliki layanan otentikasi terpadu yang mendukung protokol OIDC standar.

Informasi latar belakang

Sebagai titik kendali untuk akses eksternal ke layanan internal, gerbang harus mengotentikasi permintaan eksternal guna menjamin keamanan layanan internal. Perusahaan biasanya membangun sistem otentikasi terpadu yang dikelola sendiri. Cloud-native Gateway dapat terhubung ke sistem tersebut melalui protokol OIDC. Hal ini memungkinkan gerbang menyediakan otentikasi terpadu untuk semua layanan internal yang terhubung, sehingga tidak perlu menghubungkan setiap layanan secara individual ke sistem otentikasi.

Otentikasi OIDC

OIDC adalah lapisan identitas di atas protokol OAuth 2.0. Protokol ini memungkinkan aplikasi pihak ketiga terhubung ke penyedia identitas untuk memperoleh informasi pengguna dan menerimanya secara aman. OIDC memperluas OAuth 2.0 dengan ID Token, yaitu JSON Web Token (JWT). ID Token tersebut membungkus informasi identitas pengguna dasar dalam format mandiri dan tahan manipulasi, yang dapat dikirimkan secara aman serta diverifikasi dengan mudah oleh aplikasi pihak ketiga.

Peran-peran berikut diformalkan dalam OIDC:

  • Client: Aplikasi yang menyediakan layanan langsung kepada pengguna.

  • Authorization server: Penyedia OpenID, yaitu server otorisasi yang menerbitkan ID Token untuk otentikasi.

  • Business server: Server yang menyimpan sumber daya atau layanan yang dilindungi.

  • User: Pemilik sumber daya yang memberikan akses.

Alur kerjanya sebagai berikut:

  1. Klien mengirim permintaan otentikasi ke server otorisasi.

  2. Pengguna mengonfirmasi otorisasi pada halaman otentikasi, biasanya dengan login menggunakan username dan password.

  3. Server otorisasi memvalidasi permintaan dan mengembalikan kode otorisasi ke klien.

  4. Pengguna dialihkan ke titik akhir callback klien, yang menerima kode otorisasi tersebut.

  5. Klien meminta token dari server otorisasi dengan mengirimkan kode otorisasi, client ID, dan client secret.

  6. Server otorisasi memvalidasi permintaan dan mengembalikan ID Token.

  7. Setelah otentikasi berhasil, klien menerima ID Token dan dapat melanjutkan permintaan yang telah diautentikasi.

  8. Klien membuat permintaan ke server bisnis dengan menyertakan ID Token.

  9. Server bisnis memvalidasi ID Token dan mengembalikan tanggapan.

Alur otentikasi OIDC dengan Cloud-native Gateway

Dalam alur OIDC standar, jika Anda memiliki beberapa layanan bisnis—seperti layanan pengguna dan layanan pesanan—setiap layanan harus menerapkan logika otentikasinya sendiri. Ini mencakup validasi permintaan dan integrasi dengan server otorisasi. Dengan menggunakan fitur otentikasi OIDC pada Cloud-native Gateway, Anda dapat memusatkan logika otentikasi tersebut di tingkat gerbang.

Alur kerjanya sebagai berikut:

  1. Klien mengirim permintaan otentikasi ke gerbang.

  2. Gerbang mengirim permintaan otentikasi ke server otorisasi.

  3. Server otorisasi mengembalikan kode ke gerbang.

  4. Gerbang mengembalikan kode tersebut ke klien.

  5. Klien mengirim permintaan callback dengan kode tersebut ke gerbang.

  6. Gerbang menukar kode tersebut dengan token dari server otorisasi.

  7. Server otorisasi mengembalikan ID Token ke gerbang.

  8. Gerbang mengembalikan tanggapan sukses otentikasi ke klien dan menyetel cookie.

  9. Klien memulai permintaan bisnis dengan membawa cookie tersebut, dan gerbang memverifikasi token.

  10. Gerbang meneruskan permintaan bisnis yang membawa ID Token ke layanan bisnis.

  11. Tanggapan server bisnis dikembalikan ke klien melalui gerbang.

Sepanjang proses ini, Cloud-native Gateway memvalidasi permintaan. Jika permintaan tidak valid, gerbang akan mengarahkan pengguna ke halaman login dan melakukan proxy terhadap proses otentikasi dengan server otorisasi. Proses ini transparan bagi layanan bisnis backend.

Buat aturan otentikasi

  1. Masuk ke Konsol MSE.

  2. Di panel navigasi sebelah kiri, pilih Cloud-native Gateway > Gateways. Di bilah navigasi atas, pilih wilayah.

  3. Pada halaman Gateways, klik ID gerbang.

  4. Di panel navigasi sebelah kiri, pilih Security Management > Global Authentication.

  5. Di pojok kiri atas halaman, klik Create Authentication, konfigurasikan parameter otentikasi gerbang, lalu klik OK.

    Tabel berikut menjelaskan parameter otentikasi OIDC untuk Cloud-native Gateway.

    Parameter

    Deskripsi

    Authentication Name

    Nama kustom untuk aturan otentikasi.

    Authentication Type

    Pilih OIDC.

    Issuer

    URI issuer dari server otorisasi Anda.

    Redirect URL

    URL tempat pengguna dialihkan setelah otorisasi berhasil. URL ini harus sesuai dengan yang didaftarkan pada penyedia identitas OIDC Anda.

    Penting

    URL harus dalam format http(s)://yourdomain/path. Path-nya harus /oauth2/callback.

    Client ID

    Client ID aplikasi Anda yang terdaftar pada penyedia identitas.

    Client secret

    Client secret aplikasi Anda yang terdaftar pada penyedia identitas.

    Cookie domain

    Domain untuk cookie. Setelah otentikasi berhasil, cookie dikirim ke domain yang ditentukan untuk mempertahankan status login. Misalnya, jika Anda menyetel Cookie-domain=a.example.com, cookie dikirim ke domain a.example.com. Jika Anda menyetel Cookie-domain=.example.com, cookie dikirim ke semua subdomain example.com.

    Scope

    Menentukan cakupan otorisasi yang diminta. Gunakan titik koma (;) untuk memisahkan beberapa cakupan.

    Grant

    Mode otorisasi. Mode yang didukung adalah Whitelist dan Blacklist.

    • Whitelist: Permintaan yang sesuai dengan host dan path dalam daftar putih melewati otentikasi. Semua permintaan lainnya memerlukan otentikasi.

    • Blacklist: Permintaan yang sesuai dengan host dan path dalam blacklist memerlukan otentikasi. Semua permintaan lainnya diakses langsung.

    Klik + Rule condition untuk menyetel domain dan path permintaan.

    • Domain Name: Nama domain yang diminta, atau host.

    • Path: Path API yang diminta.

Buat rute otentikasi

Setelah membuat aturan otentikasi, Anda harus membuat rute terkait. Untuk informasi selengkapnya, lihat Create a route.

Konfigurasikan parameter rute sebagai berikut:

  • Domain Name: Pilih domain dari Redirect URL yang Anda konfigurasikan dalam aturan otentikasi. Jika tidak ada domain yang dikonfigurasi, Anda dapat memilih *.

    Penting

    Jika Anda menggunakan HTTPS, Anda harus mengonfigurasi dan mengaitkan domain.

  • Path: Pilih Prefix Match dan masukkan /oauth2.

  • Destination Service: Pilih oauth2-proxy.

Lihat detail otentikasi

  1. Masuk ke Konsol MSE.

  2. Di panel navigasi sebelah kiri, pilih Cloud-native Gateway > Gateways. Di bilah navigasi atas, pilih wilayah.

  3. Pada halaman Gateways, klik ID gerbang.

  4. Di panel navigasi sebelah kiri, pilih Security Management > Global Authentication.

  5. Pada halaman Global Authentication, klik nama aturan otentikasi atau klik Details di kolom Actions untuk melihat Authentication Configuration saat ini dan mengelola Authorization Information.

    Halaman detail konfigurasi otentikasi terdiri dari tiga bagian: Bagian Basic Information menampilkan nama dan sumber. Bagian Authentication Configuration menampilkan bidang seperti Issuer, Redirect URL, Client ID, Client secret, Cookie domain, dan Scope. Bagian Authorization Information menampilkan mode otorisasi, seperti mode daftar putih. Anda dapat mengklik Create authorization information untuk menambahkan aturan pencocokan domain permintaan dan path permintaan. Hubungan OR berlaku di antara beberapa kondisi aturan.

Di bagian Authorization Information, klik Add Authorization Information. Pada kotak dialog yang muncul, masukkan Request Domain Name dan Request Path, pilih Match Mode, lalu klik OK untuk menambahkan aturan otorisasi baru.

Verifikasi hasil

Kembali ke halaman Global Authentication. Jika aturan otentikasi baru muncul dalam daftar, berarti aturan tersebut berhasil dibuat.

Operasi terkait

Anda juga dapat melakukan operasi berikut untuk mengelola aturan otentikasi Anda:

  • Aktifkan aturan otentikasi: Pada halaman Global Authentication, temukan aturan yang dituju dan klik Enable di kolom Actions. Tindakan ini mengaktifkan aturan tersebut.

  • Nonaktifkan aturan otentikasi: Pada halaman Global Authentication, temukan aturan yang dituju dan klik Close di kolom Actions. Tindakan ini menonaktifkan aturan tersebut.

  • Edit aturan otentikasi: Pada halaman Global Authentication, temukan aturan yang dituju dan klik Edit di kolom Actions untuk mengubah konfigurasinya.

  • Hapus aturan otentikasi: Pada halaman Global Authentication, temukan aturan yang dituju dan klik Delete di kolom Actions untuk menghapusnya secara permanen.

Catatan

Anda harus menonaktifkan aturan otentikasi sebelum dapat menghapusnya.

Topik terkait

Untuk mempelajari mekanisme otentikasi lainnya, lihat Global Authentication.