全部产品
Search

搜索本产品

    Resource Access Management:Kelola Penyedia Identitas OIDC

    文档中心

    Resource Access Management:Kelola Penyedia Identitas OIDC

    更新时间:Nov 10, 2025

    Untuk menggunakan OpenID Connect (OIDC) single sign-on (SSO) berbasis peran, Anda harus membuat penyedia identitas (IdP). Topik ini menjelaskan cara membuat, melihat, memodifikasi, dan menghapus Penyedia Identitas OIDC.

    Buat Penyedia ID OIDC

    1. Masuk ke Konsol Resource Access Management (RAM) sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Integrations > SSO.

    3. Pada tab Role-based SSO, klik tab OIDC, lalu klik Create IdP.

    4. Pada halaman Create IdP, atur informasi IdP.

      Parameter

      Deskripsi

      IdP Name

      Nama tersebut harus unik dalam satu akun Alibaba Cloud.

      Issuer URL

      URL penerbit yang disediakan oleh Penyedia Identitas eksternal. URL penerbit harus dimulai dengan https dan merupakan URL yang valid. URL tidak boleh berisi parameter kueri yang mengikuti tanda tanya (?), segmen fragmen yang diidentifikasi oleh tanda pagar (#), atau informasi logon yang diidentifikasi oleh tanda at (@).

      Verification Fingerprint

      Untuk mencegah URL penerbit diretas atau dirusak, konfigurasikan sidik jari verifikasi yang dihasilkan dari sertifikat CA HTTPS Penyedia Identitas eksternal.

      Setelah Anda memasukkan Issuer URL, klik Get Fingerprint. Alibaba Cloud membantu Anda secara otomatis menghitung sidik jari verifikasi. Kami menyarankan Anda juga menghitungnya secara lokal dan membandingkan hasilnya. Untuk informasi lebih lanjut, lihat Mendapatkan sidik jari Penyedia Identitas OIDC menggunakan OpenSSL. Jika sidik jarinya tidak cocok, URL penerbit mungkin sedang diserang. Konfirmasikan URL dan masukkan sidik jari yang benar.

      Catatan

      Jika Anda berencana untuk memutar sertifikat IdP Anda, buat sidik jari sertifikat baru dan tambahkan ke informasi Penyedia Identitas OIDC di Alibaba Cloud sebelum rotasi. Tunggu setidaknya satu hari sebelum Anda memutar sertifikat. Setelah Anda yakin bahwa Anda dapat menggunakan sertifikat baru untuk mendapatkan Token Layanan Keamanan (STS), Anda dapat menghapus sidik jari lama.

      Client ID

      Saat Anda mendaftarkan aplikasi Anda dengan Penyedia Identitas eksternal, ID klien akan dibuat. Anda harus menggunakan ID klien ini saat meminta token OIDC dari Penyedia Identitas eksternal. Token OIDC yang diterbitkan berisi ID klien ini di bidang aud. Saat Anda membuat Penyedia Identitas OIDC, konfigurasikan ID klien ini. Saat Anda menggunakan token OIDC untuk mendapatkan token STS, Alibaba Cloud memverifikasi bahwa ID klien di bidang aud token OIDC sesuai dengan ID klien yang dikonfigurasikan untuk Penyedia Identitas OIDC. Anda hanya dapat mengasumsikan peran jika ID klien cocok.

      Jika Anda memiliki beberapa aplikasi yang perlu mengakses Alibaba Cloud, Anda dapat mengonfigurasi beberapa ID klien. Anda dapat menambahkan maksimal 50 ID klien.

      Earliest Issuance Time

      Token OIDC yang diterbitkan sebelum waktu ini tidak dapat digunakan untuk mendapatkan token STS.

      Default: 12 jam. Nilai valid: 1 hingga 168 jam.

      Remarks

      Deskripsi Penyedia Identitas.

    5. Klik Create IdP.

    Lihat Informasi Penyedia Identitas OIDC

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Integrations > SSO.

    3. Pada tab Role-based SSO, klik tab OIDC, lalu klik nama IdP target.

    4. Di bagian Basic Information, lihat IdP Name, IdP Type, Creation Time, Update Time, Remarks, ARN, Issuer URL, dan Earliest Issuance Time.

    Modifikasi Informasi Penyedia Identitas OIDC

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Integrations > SSO.

    3. Pada tab Role-based SSO, klik tab OIDC, lalu klik nama IdP target.

    4. Modifikasi informasi Penyedia Identitas OIDC:

      • Di bagian Basic Information, modifikasi Remarks dan Earliest Issuance Time.

      • Di bagian Client ID, tambahkan atau hapus ID klien.

        Catatan

        Anda dapat menambahkan maksimal 50 ID klien. Jika hanya ada satu ID klien, Anda tidak dapat menghapusnya.

      • Di bagian Verification Fingerprint, tambahkan atau hapus sidik jari verifikasi.

        Catatan

        Anda dapat menambahkan maksimal lima sidik jari verifikasi. Jika hanya ada satu sidik jari verifikasi, Anda tidak dapat menghapusnya.

    Hapus Penyedia ID OIDC

    Peringatan

    Setelah Anda menghapus Penyedia Identitas OIDC, Anda tidak dapat lagi menggunakan SSO berbasis peran OIDC dengan RAM.

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Integrations > SSO.

    3. Pada tab Role-based SSO, klik tab OIDC. Kemudian, temukan Penyedia Identitas OIDC yang ingin dihapus dan klik Delete IdP di kolom Actions.

    4. Di kotak dialog Delete IdP, klik Delete IdP.