全部产品
Search

搜索本产品

    Microservices Engine:Konfigurasikan Autentikasi OIDC

    文档中心

    Microservices Engine:Konfigurasikan Autentikasi OIDC

    更新时间:Jul 06, 2025

    Integrasi antara protokol OpenID Connect (OIDC) dan sistem autentikasi perusahaan membantu menerapkan manajemen otentikasi dan otorisasi terpadu untuk layanan internal. Hal ini mengurangi operasi koordinasi berulang serta menyederhanakan proses otentikasi. Gateway berbasis cloud-native menyediakan otentikasi terpadu, memperkuat keamanan sistem, dan menawarkan konfigurasi kebijakan keamanan yang lebih fleksibel. Single Sign-On (SSO) juga didukung melalui integrasi dengan protokol OIDC, memungkinkan Anda mengakses beberapa layanan menggunakan SSO.

    Prasyarat

    Layanan autentikasi terpadu yang mendukung protokol OIDC standar telah dibuat.

    Informasi Latar Belakang

    Untuk mengontrol akses eksternal ke layanan internal, gateway melakukan otentikasi permintaan eksternal guna memastikan keamanan layanan. Biasanya, sebuah perusahaan memiliki sistem autentikasi terpadu yang dikelola sendiri. Gateway berbasis cloud-native dapat dihubungkan ke sistem autentikasi tersebut berdasarkan protokol OIDC, menyediakan otentikasi terpadu untuk layanan internal yang terhubung. Dengan cara ini, tidak perlu menghubungkan setiap layanan secara terpisah ke sistem autentikasi.

    Autentikasi OIDC

    OIDC adalah protokol autentikasi yang memperluas OAuth2.0 untuk menyediakan informasi identitas pengguna dasar melalui bidang ID Token yang diperluas. ID Token dienkapsulasi dalam format JSON Web Token (JWT), memberikan mekanisme yang mandiri dan tahan terhadap manipulasi. Ini memastikan bahwa ID Token dapat ditransmisikan secara aman ke aplikasi pihak ketiga dan diverifikasi dengan mudah.

    Peran berikut diformalisasikan dalam OIDC:

    • Klien: Menyediakan layanan langsung kepada pengguna akhir.

    • Server Otorisasi: Penyedia OpenID, biasanya server otorisasi OpenID. Server otorisasi menerbitkan ID token kepada pihak ketiga untuk autentikasi.

    • Server Bisnis: Menyediakan layanan bisnis.

    • Pengguna Akhir: Pemilik sumber daya.

    Proses:

    1. Klien mengirimkan permintaan autentikasi ke server otorisasi.

    2. Pengguna akhir masuk ke halaman otorisasi menggunakan nama pengguna dan kata sandi, lalu mengonfirmasi permintaan autentikasi.

    3. Server otorisasi memvalidasi permintaan autentikasi dan mengirimkan kode otorisasi ke klien.

    4. Klien mengirimkan permintaan balik yang berisi kode otorisasi ke server bisnis.

    5. Server bisnis mengirimkan permintaan ke server otorisasi, mencakup kode otorisasi, ID klien, dan rahasia klien.

    6. Server otorisasi memvalidasi permintaan dan mengembalikan ID token.

    7. Jika autentikasi berhasil, server bisnis mengirimkan ID token ke klien.

    8. Klien membuat permintaan bisnis yang mencakup ID token dan mengirimkannya ke server bisnis.

    9. Server bisnis memvalidasi ID token dan mengembalikan respons bisnis ke klien.

    Autentikasi OIDC dalam gateway berbasis cloud-native

    Dalam proses autentikasi OIDC sebelumnya, jika ada beberapa server bisnis seperti server pengguna dan pesanan, autentikasi harus dilakukan secara terpisah untuk setiap server bisnis. Misalnya, permintaan harus divalidasi secara terpisah, dan setiap server bisnis harus dihubungkan ke server otorisasi. Anda dapat menggunakan fitur autentikasi OIDC dari gateway berbasis cloud-native untuk menerapkan autentikasi terpadu.

    Proses:

    1. Klien mengirimkan permintaan autentikasi ke gateway.

    2. Gateway meneruskan permintaan ke server otorisasi.

    3. Server otorisasi membaca informasi autentikasi, seperti nama pengguna dan kata sandi, dalam permintaan autentikasi untuk memvalidasi permintaan. Setelah validasi berhasil, server otorisasi mengembalikan kode otorisasi ke gateway.

    4. Gateway mengirimkan respons yang berisi kode otorisasi ke klien.

    5. Klien mengirimkan permintaan balik yang berisi kode otorisasi ke gateway.

    6. Gateway mengirimkan permintaan ke server otorisasi, mencakup kode otorisasi, ID klien, dan rahasia klien.

    7. Server otorisasi memvalidasi permintaan dan mengembalikan ID token.

    8. Jika autentikasi berhasil, gateway mengirimkan ID token ke klien.

    9. Klien membuat permintaan bisnis yang mencakup ID token dan mengirimkannya ke gateway.

    10. Gateway memvalidasi permintaan bisnis dan meneruskannya ke server bisnis.

    11. Server bisnis memproses permintaan bisnis dan mengirimkan respons bisnis ke gateway.

    12. Gateway meneruskan respons bisnis ke klien.

    Selama proses autentikasi, gateway berbasis cloud-native memeriksa apakah semua permintaan yang diterima valid. Jika permintaan tidak valid, gateway mengarahkan ulang ke halaman log masuk pengguna dan mengirimkan permintaan ke server otorisasi untuk log masuk pengguna. Dengan cara ini, server otorisasi transparan bagi server bisnis.

    Buat aturan autentikasi

    1. Masuk ke Konsol MSE.

    2. Di panel navigasi di sebelah kiri, pilih Cloud-native Gateway > Gateways. Di bilah navigasi atas, pilih wilayah.

    3. Di halaman Gateways, klik ID gateway.

    4. Di panel navigasi di sebelah kiri, pilih Security Management > Global Authentication.

    5. Di pojok kiri atas halaman yang muncul, klik Create Authentication. Di panel Buat Autentikasi, konfigurasikan parameter dan klik OK.

      Tabel berikut menjelaskan parameter.

      Parameter

      Deskripsi

      Authentication Name

      Masukkan nama aturan autentikasi.

      Authentication Type

      Pilih OIDC.

      Issuer

      Masukkan nama penerbit.

      Redirect URL

      Masukkan URL pengalihan yang digunakan setelah otorisasi selesai. Nilainya harus sama dengan URL pengalihan yang dikonfigurasikan di OIDC.

      Penting

      Nilai parameter dalam format http(s)://yourdomain/path. Dalam format ini, path harus diatur ke /oauth2/callback.

      Client-ID

      Masukkan ID aplikasi dalam informasi pendaftaran layanan.

      Client-Secret

      Masukkan rahasia aplikasi dalam informasi pendaftaran layanan.

      Cookie-Domain

      Masukkan nama domain cookie. Setelah pengguna lulus autentikasi, cookie dikirim ke nama domain yang ditentukan untuk mempertahankan status log masuk pengguna. Sebagai contoh, jika Anda menetapkan Cookie-Domain ke a.example.com, cookie dikirim ke nama domain a.example.com. Jika Anda menetapkan Cookie-Domain ke .example.com, cookie dikirim ke semua subdomain example.com.

      Scope

      Masukkan scope OIDC. Pisahkan beberapa nilai dengan titik koma (;).

      Authorization

      Pilih metode otorisasi. Nilai yang valid: Whitelist dan Blacklist.

      • Daftar Putih: Hanya permintaan dengan nama host dan jalur yang Anda tentukan dalam daftar putih yang dapat mengakses gateway berbasis cloud-native tanpa autentikasi.

      • Daftar Hitam: Hanya permintaan dengan nama host dan jalur yang Anda tentukan dalam daftar hitam yang memerlukan autentikasi.

      Klik + Rule Condition untuk menambahkan nama domain dan jalur.

      • Domain Name: nama domain yang memerlukan akses ke gateway berbasis cloud-native.

      • Path: jalur yang memerlukan akses ke gateway berbasis cloud-native.

    Buat rute autentikasi

    Setelah aturan autentikasi dibuat, buat rute autentikasi. Untuk informasi lebih lanjut, lihat Buat aturan routing.

    Tentukan parameter berikut:

    • Domain Name: Pilih nama domain dari Redirect URL aturan autentikasi. Jika tidak ada nama domain yang dikonfigurasikan, pilih *.

      Penting

      Untuk permintaan HTTPS, Anda harus mengonfigurasikan nama domain dan mengaitkannya dengan rute.

    • Path: Pilih Prefix dari daftar drop-down dan masukkan /oauth2 di bidang tersebut.

    • Destination Service: Tetapkan nilainya menjadi oauth2-proxy.

    Lihat detail aturan autentikasi OIDC

    1. Masuk ke Konsol MSE.

    2. Di panel navigasi di sebelah kiri, pilih Cloud-native Gateway > Gateways. Di bilah navigasi atas, pilih wilayah.

    3. Di halaman Gateways, klik ID gateway.

    4. Di panel navigasi di sebelah kiri, pilih Security Management > Global Authentication.

    5. Di halaman Global Authentication, klik nama aturan autentikasi atau klik Details di kolom Actions untuk melihat authentication configuration dan authorization information saat ini.

      image.png

    Di bagian Authorization Information, klik Add Authorization Information. Di kotak dialog Tambah Informasi Otorisasi, tentukan Request Domain Name dan Request Path, pilih matching mode, dan kemudian klik OK.

    Verifikasi hasil

    Kembali ke halaman Global Authentication untuk melihat informasi autentikasi. Jika aturan autentikasi gateway baru ditampilkan, aturan autentikasi gateway berhasil dibuat.

    Apa yang harus dilakukan selanjutnya

    Anda dapat melakukan operasi berikut pada aturan autentikasi gateway berbasis cloud-native:

    • Aktifkan aturan autentikasi: Di halaman Global Authentication, temukan aturan autentikasi yang ingin Anda kelola dan klik Enable di kolom Actions.

    • Nonaktifkan aturan autentikasi: Di halaman Global Authentication, temukan aturan autentikasi yang ingin Anda kelola dan klik Disable di kolom Actions.

    • Ubah aturan autentikasi: Di halaman Global Authentication, temukan aturan autentikasi yang ingin Anda kelola dan klik Edit di kolom Actions.

    • Hapus aturan autentikasi: Di halaman Global Authentication, temukan aturan autentikasi yang ingin Anda kelola dan klik Delete di kolom Actions.

    Catatan

    Anda hanya dapat menghapus aturan autentikasi jika aturan autentikasi dinonaktifkan.

    Referensi

    Untuk informasi lebih lanjut tentang mekanisme autentikasi lainnya, lihat Ikhtisar autentikasi gateway.