Resource Access Management:Ikhtisar aplikasi OAuth

Concept

Description

User (resource owner)

Entitas yang memberikan izin kepada aplikasi untuk mengakses resource mereka. Pemilik resource dapat berupa Akun Alibaba Cloud, Pengguna RAM, atau Peran RAM.

Alibaba Cloud OAuth service

Layanan OAuth Alibaba Cloud bertindak sebagai server otorisasi. Layanan ini mengotentikasi pemilik resource, memperoleh persetujuan mereka, dan menerbitkan token akses ke aplikasi client.

First-party application

Aplikasi yang dibuat dalam Akun Alibaba Cloud Anda. Pengguna dalam akun yang sama dapat mengakses aplikasi tersebut tanpa langkah otorisasi eksplisit, sedangkan pengguna dari akun Alibaba Cloud lain harus terlebih dahulu menginstal dan mengotorisasi aplikasi tersebut.

Anda dapat membuat jenis aplikasi first-party berikut:

• Web application: Aplikasi berbasis browser yang dijalankan pada server web.

• Native application: Aplikasi desktop atau seluler yang diinstal dan dijalankan secara native pada perangkat.

• Server-to-server application: Aplikasi yang secara langsung mengakses layanan Alibaba Cloud tanpa interaksi pengguna. Jenis ini biasanya digunakan untuk alur kerja mesin-ke-mesin, seperti penyediaan pengguna melalui protokol System for Cross-domain Identity Management (SCIM).

Third-party application

Aplikasi yang dikembangkan oleh akun Alibaba Cloud berbeda yang Anda instal dan otorisasi untuk mengakses resource Anda.

Official application

Aplikasi yang diterbitkan oleh layanan Alibaba Cloud yang dapat diinstal oleh semua akun Alibaba Cloud. Karena jenis aplikasi ini bukan milik akun Anda, maka official application merupakan jenis third-party application.

OAuth scope

Mekanisme untuk membatasi akses aplikasi ke akun pengguna. Aplikasi dapat meminta satu atau beberapa cakupan, dan token akses yang diberikan kepada aplikasi akan dibatasi sesuai cakupan yang diberikan. Cakupan berikut didukung:

• openid: Digunakan untuk memperoleh OpenID pengguna. Ini adalah cakupan default dan tidak dapat dihapus.

  Catatan

  OpenID adalah pengidentifikasi unik untuk pengguna tetapi tidak berisi informasi identitas pribadi (PII) seperti username atau UID Alibaba Cloud. Untuk mengambil informasi tersebut, Anda juga harus meminta cakupan aliuid atau profile.

• aliuid: Digunakan untuk memperoleh pengidentifikasi pengguna unik (UID) yang dikeluarkan oleh Alibaba Cloud. Ini mencakup UID Pengguna RAM dan UID akun Alibaba Cloud induk.

• profile: Digunakan untuk memperoleh nama pengguna yang terotentikasi. Untuk Akun Alibaba Cloud, ini memperoleh nama login. Untuk Pengguna RAM, ini memperoleh User Principal Name (UPN) dan nama tampilan.

• /acs/ccc: Digunakan untuk memanggil API Alibaba Cloud Call Center.

• /acs/cloudesl: Digunakan untuk memanggil API Alibaba Cloud CloudESL.

• /acs/alidns: Digunakan untuk memanggil API Alibaba Cloud DNS.

• /acs/scim: Digunakan untuk mengakses layanan Cross-domain Identity Management.

• /acs/digitalstore: Digunakan untuk mengakses Digital Store.

• /acs/scsp: Digunakan untuk mengakses Smart Customer Service Platform.

• /acs/cloudgame: Digunakan untuk mengakses Cloud Gaming Platform.

• /acs/aiccs: Digunakan untuk mengakses Artificial Intelligence Cloud Call Service.

• /acs/alimt: Digunakan untuk mengakses layanan Machine Translation.

• /acs/easygene: Digunakan untuk memanggil API Genomics Computing Platform.

• /acs/mcp-server: Mengotorisasi Alibaba Cloud MCP Server untuk memanggil API layanan Alibaba Cloud.

  Catatan

  Cakupan /acs/mcp-server hanya didukung oleh OAuth 2.1

Token

Kredensial keamanan yang dikeluarkan oleh layanan OAuth yang merepresentasikan otorisasi yang diberikan oleh pengguna.

• ID token: Berisi informasi identitas pengguna. Tidak dapat digunakan untuk mengakses resource Alibaba Cloud.

• Access token: Berisi informasi identitas pengguna dan cakupan OAuth aplikasi. Dapat digunakan untuk mengakses resource Alibaba Cloud dalam cakupan OAuth yang ditentukan.

• Refresh token: Digunakan untuk memperoleh token akses baru tanpa memerlukan pengguna untuk login kembali.

Alibaba Cloud API

API yang dapat dipanggil oleh aplikasi untuk mengakses resource Alibaba Cloud.

Claim

Description

Example

Required scope

exp

Waktu kedaluwarsa token, direpresentasikan sebagai Stempel waktu UNIX.

1517539523

openid

sub

Pengidentifikasi subjek untuk pengguna yang terotentikasi. Ini adalah pengidentifikasi unik dan tidak dapat didaur ulang yang tidak berisi informasi identitas pribadi (PII).

123456789012****

openid

aud

Audience token, yaitu client ID dari aplikasi OAuth Anda.

4567890123456****

openid

iss

Penerbit token. Nilainya adalah https://oauth.aliyun.com.

https://oauth.aliyun.com

openid

iat

Waktu penerbitan token, direpresentasikan sebagai Stempel waktu UNIX.

1517533200

openid

aid

ID akun Alibaba Cloud tempat pengguna yang terotentikasi bernaung.

177242285274****

aliuid

uid

ID unik pengguna yang terotentikasi. Nilai yang valid:

• Akun Alibaba Cloud: ID akun Alibaba Cloud, yang sama dengan nilai aid.

• Pengguna RAM: ID Pengguna RAM.

• Peran RAM: ID Peran RAM.

20124982101502****

aliuid

type

Jenis pengguna yang terotentikasi. Nilai yang valid:

• account: Akun Alibaba Cloud.

• user: Pengguna RAM.

• role: Peran RAM.

user

profile

login_name

Nama login Akun Alibaba Cloud.

Alice

profile

upn

Nama login Pengguna RAM.

Bob@examplecompany.onaliyun.com

profile

name

Nama pengguna yang terotentikasi. Nilai yang valid:

• Pengguna RAM: Nama tampilan Pengguna RAM.

• Peran RAM: <RoleName:RoleSessionName>.

Bob

profile