Ketika beberapa layanan backend masing-masing menerapkan logika otentikasinya sendiri, Anda menghadapi duplikasi kode, kebijakan keamanan yang tidak konsisten, serta kompleksitas pemeliharaan. Gateway cloud-native mengatasi masalah ini dengan memusatkan otentikasi OpenID Connect (OIDC) di lapisan gateway—gateway menangani validasi token, manajemen sesi, dan pengalihan login sehingga layanan backend hanya menerima permintaan yang telah diautentikasi sebelumnya. Pendekatan ini memperkuat keamanan sistem dan memungkinkan konfigurasi kebijakan keamanan yang lebih fleksibel. Single sign-on (SSO) juga didukung di seluruh layanan di belakang gateway.
Prasyarat
Sebelum memulai, pastikan Anda memiliki:
Penyedia identitas (IdP) yang mendukung protokol OIDC standar
Informasi berikut dari IdP Anda:
| Item | Deskripsi |
|---|---|
| Issuer URL | URL dasar untuk titik akhir discovery .well-known/openid-configuration. Gateway menggunakan URL ini untuk secara otomatis mengambil titik akhir otorisasi, token, dan userinfo dari IdP. |
| Client ID | Identifier aplikasi yang diberikan saat pendaftaran di IdP |
| Client secret | Rahasia aplikasi yang diberikan saat pendaftaran di IdP |
| Redirect URL | URL callback yang terdaftar di IdP. Path harus berupa /oauth2/callback. Format: https://yourdomain/oauth2/callback |
Alur otentikasi OIDC
Alur OIDC standar
Dalam pengaturan OIDC standar, empat peran saling berinteraksi:
| Peran | Deskripsi |
|---|---|
| Client | Aplikasi yang melayani end user (misalnya, browser atau aplikasi seluler) |
| Authorization server | Penyedia OpenID yang mengotentikasi pengguna dan menerbitkan token ID |
| Business server | Layanan backend yang menyediakan logika bisnis |
| End user | Pemilik sumber daya — orang yang mengakses aplikasi |
OIDC memperluas OAuth 2.0 dengan menambahkan token ID — sebuah JSON Web Token (JWT) yang membawa informasi identitas pengguna dalam format mandiri yang tahan terhadap perubahan.
Alur standar bekerja sebagai berikut:
Client mengirim permintaan otentikasi ke authorization server.
End user memasukkan kredensial di halaman otorisasi dan mengonfirmasi permintaan tersebut.
Authorization server memvalidasi permintaan dan mengembalikan kode otorisasi ke client.
Client mengirim permintaan callback dengan kode otorisasi ke business server.
Business server mengirim kode otorisasi, client ID, dan client secret ke authorization server.
Authorization server memvalidasi permintaan dan mengembalikan token ID.
Business server meneruskan token ID ke client.
Client menyertakan token ID dalam permintaan bisnis berikutnya ke business server.
Business server memvalidasi token ID dan mengembalikan respons bisnis.
Dalam model ini, setiap business server harus secara independen terhubung ke authorization server untuk memvalidasi token—sehingga menciptakan upaya integrasi yang terduplikasi.
Alur OIDC berbasis gateway
Saat gateway cloud-native menangani otentikasi OIDC, gateway menggantikan business server dalam pertukaran token. Authorization server menjadi transparan bagi layanan backend—mereka hanya menerima permintaan yang telah divalidasi sebelumnya.
Alur berbasis gateway bekerja sebagai berikut:
Client mengirim permintaan ke gateway.
Gateway mengalihkan client ke authorization server.
Authorization server mengotentikasi pengguna dan mengembalikan kode otorisasi ke gateway.
Gateway mengirim kembali kode otorisasi ke client.
Client mengirim permintaan callback dengan kode otorisasi ke gateway.
Gateway mengirim kode otorisasi, client ID, dan client secret ke authorization server.
Authorization server memvalidasi permintaan dan mengembalikan token ID.
Gateway mengirim token ID ke client.
Client menyertakan token ID dalam permintaan bisnis berikutnya ke gateway.
Gateway memvalidasi token ID dan meneruskan permintaan ke layanan backend yang sesuai.
Layanan backend memproses permintaan dan mengembalikan respons ke gateway.
Gateway meneruskan respons ke client.
Untuk permintaan yang tidak diautentikasi atau tidak valid, gateway secara otomatis mengalihkan client ke halaman login authorization server.
Buat aturan otentikasi
Masuk ke Konsol MSE.
Di panel navigasi kiri, pilih Cloud-native Gateway > Gateways. Di bilah navigasi atas, pilih Wilayah.
Di halaman Gateways, klik ID gateway.
Di panel navigasi kiri, pilih Security Management > Global Authentication.
Di pojok kiri atas halaman yang muncul, klik Create Authentication. Di panel Create Authentication, konfigurasikan parameter berikut, lalu klik OK.
| Parameter | Deskripsi |
|---|---|
| Authentication Name | Nama untuk aturan otentikasi. |
| Authentication Type | Pilih OIDC. |
| Issuer | Identifier issuer dari IdP Anda. Ini adalah URL dasar yang digunakan untuk discovery OIDC (titik akhir .well-known/openid-configuration). |
| Redirect URL | URL yang dituju oleh authorization server setelah otentikasi selesai. Format: http(s)://yourdomain/oauth2/callback. Path harus berupa /oauth2/callback, dan URL ini harus sesuai dengan Redirect URL yang terdaftar di IdP Anda. |
| Client-ID | ID aplikasi dari informasi pendaftaran IdP Anda. |
| Client-Secret | Rahasia aplikasi dari informasi pendaftaran IdP Anda. |
| Cookie-Domain | Domain tempat cookie sesi dikirim setelah otentikasi. Atur ke a.example.com agar cookie hanya dikirim ke host tersebut, atau .example.com agar dikirim ke semua subdomain example.com. |
| Scope | Cakupan OIDC yang diminta. Pisahkan beberapa nilai dengan titik koma (;). |
| Authorization | Mode kontrol akses: Whitelist — Hanya permintaan yang sesuai dengan hostname dan path tertentu yang melewati otentikasi. Semua permintaan lain memerlukan otentikasi. Blacklist — Hanya permintaan yang sesuai dengan hostname dan path tertentu yang memerlukan otentikasi. Semua permintaan lain melewati otentikasi. Klik + Rule Condition untuk menambahkan entri. Untuk setiap entri, tentukan Domain Name dan Path. |
Buat rute otentikasi
Setelah aturan otentikasi dibuat, buat rute untuk menangani callback OIDC. Untuk petunjuk langkah demi langkah, lihat Create a routing rule.
Konfigurasikan parameter berikut untuk rute otentikasi:
| Parameter | Nilai |
|---|---|
| Domain Name | Pilih nama domain dari Redirect URL aturan otentikasi. Jika tidak ada nama domain yang dikonfigurasi, pilih *. |
| Path | Pilih Prefix dan masukkan /oauth2. |
| Destination Service | Atur ke oauth2-proxy. |
Untuk permintaan HTTPS, konfigurasikan nama domain dan kaitkan dengan rute tersebut.
Verifikasi aturan otentikasi
Kembali ke halaman Global Authentication. Jika aturan otentikasi baru muncul dalam daftar, konfigurasi telah selesai.
Lihat detail aturan otentikasi
Masuk ke Konsol MSE.
Di panel navigasi kiri, pilih Cloud-native Gateway > Gateways. Di bilah navigasi atas, pilih Wilayah.
Di halaman Gateways, klik ID gateway.
Di panel navigasi kiri, pilih Security Management > Global Authentication.
Klik nama aturan otentikasi, atau klik Details di kolom Actions. Halaman detail menampilkan authentication configuration dan authorization information saat ini.
Di bagian Authorization Information, klik Add Authorization Information untuk menambahkan entri baru. Tentukan Request Domain Name, Request Path, dan matching mode, lalu klik OK.
Manage aturan otentikasi
Di halaman Global Authentication, temukan aturan otentikasi yang dituju dan gunakan aksi berikut di kolom Actions:
| Aksi | Deskripsi |
|---|---|
| Enable | Mengaktifkan aturan otentikasi. |
| Disable | Menonaktifkan aturan otentikasi. |
| Edit | Mengubah pengaturan aturan otentikasi. |
| Delete | Menghapus aturan otentikasi. Anda harus menonaktifkan aturan sebelum menghapusnya. |
Referensi
Untuk ikhtisar semua mekanisme otentikasi yang didukung, lihat Gateway authentication overview.