Apa itu Aplikasi OAuth Alibaba Cloud - Resource Access Management

Resource Access Management (RAM) mendukung otentikasi pengguna dan otorisasi aplikasi melalui protokol OAuth 2.0 dan OAuth 2.1. Topik ini menjelaskan konsep dasar, skenario umum, serta cakupan OAuth dari layanan OAuth Alibaba Cloud.

Istilah

Istilah	Deskripsi
Pengguna	Seorang pengguna harus masuk ke Alibaba Cloud dan mengotorisasi aplikasi untuk mengakses sumber daya cloud. Pengguna dapat berupa Akun Alibaba Cloud, Pengguna RAM, atau Peran RAM. Catatan Aplikasi OAuth yang dibuat sebelum 10 September 2024 tidak mendukung Peran RAM. Untuk mengaktifkan fitur ini, ajukan permintaan Tiket.
Layanan OAuth Alibaba Cloud	Layanan OAuth Alibaba Cloud mengotentikasi pengguna, menerima otorisasi pengguna untuk aplikasi, menghasilkan token yang mewakili identitas pengguna, dan mengembalikan token tersebut ke aplikasi yang telah diotorisasi.
Aplikasi Perusahaan	Sebuah aplikasi yang dibuat di bawah akun Alibaba Cloud saat ini. Pengguna di bawah akun ini dapat mengakses aplikasi secara langsung tanpa otorisasi. Pengguna di bawah akun Alibaba Cloud lainnya harus menginstal dan mengotorisasi aplikasi sebelum mengaksesnya. Anda dapat membuat jenis aplikasi perusahaan berikut: Web Application: Sebuah aplikasi berbasis web yang berinteraksi melalui browser. Native Application: Sebuah aplikasi lokal yang berjalan pada sistem operasi, seperti desktop atau sistem operasi seluler. Server Application: Sebuah aplikasi yang mengakses layanan Alibaba Cloud secara langsung tanpa memerlukan logon pengguna. Saat ini, hanya aplikasi sinkronisasi pengguna berdasarkan protokol System for Cross-domain Identity Management (SCIM) yang didukung.
Aplikasi Pihak Ketiga	Sebuah aplikasi yang tidak dibuat di bawah akun saat ini tetapi diinstal dan diotorisasi.
Aplikasi Resmi	Sebuah aplikasi yang disediakan oleh layanan Alibaba Cloud yang dapat diinstal oleh semua akun Alibaba Cloud. Karena jenis aplikasi ini tidak dibuat di bawah akun Anda, aplikasi resmi merupakan jenis aplikasi pihak ketiga.
Ruang Lingkup OAuth	Layanan OAuth menggunakan cakupan OAuth untuk menentukan rentang akses yang dimiliki aplikasi setelah pengguna masuk ke Alibaba Cloud. Cakupan berikut didukung: openid: Digunakan untuk mendapatkan OpenID pengguna. Ini adalah cakupan default dan tidak dapat dihapus. Catatan OpenID yang diperoleh adalah string yang secara unik mengidentifikasi pengguna tetapi tidak berisi informasi seperti UID Alibaba Cloud atau nama pengguna. Untuk mendapatkan informasi ini, Anda harus menggunakan cakupan seperti aliuid dan profile. aliuid: Digunakan untuk mendapatkan pengenal pengguna unik (UID) yang dikeluarkan oleh Alibaba Cloud. Ini termasuk UID Pengguna RAM dan UID akun Alibaba Cloud induk. profile: Digunakan untuk mendapatkan nama pengguna yang masuk. Untuk akun Alibaba Cloud, ia mendapatkan nama logon. Untuk Pengguna RAM, ia mendapatkan Nama Utama Pengguna (UPN) dan nama tampilan. /acs/ccc: Digunakan untuk mengakses API layanan Cloud Call Center. /acs/cloudesl: Digunakan untuk mengakses API layanan CloudESL. /acs/alidns: Digunakan untuk mengakses API Cloud DNS. /acs/scim: Digunakan untuk mengakses layanan System for Cross-domain Identity Management. /acs/digitalstore: Digunakan untuk mengakses Digital Store. /acs/scsp: Digunakan untuk mengakses Smart Customer Service Platform. /acs/cloudgame: Digunakan untuk mengakses Cloud Gaming Platform. /acs/aiccs: Digunakan untuk mengakses Artificial Intelligence Cloud Call Service. /acs/alimt: Digunakan untuk mengakses layanan Machine Translation. /acs/easygene: Digunakan untuk mengakses API Gene Analysis Platform. /acs/mcp-server: Mengotorisasi layanan MCP resmi untuk memanggil API layanan Alibaba Cloud. Catatan Hanya OAuth 2.1 yang mendukung /acs/mcp-server.
Token	Layanan OAuth dapat mengeluarkan token kepada aplikasi yang mewakili pengguna yang masuk. Token ID: Berisi informasi identitas pengguna. Tidak dapat digunakan untuk mengakses sumber daya Alibaba Cloud. Token akses: Berisi informasi identitas pengguna dan cakupan OAuth aplikasi. Dapat digunakan untuk mengakses sumber daya Alibaba Cloud dalam cakupan OAuth yang ditentukan. Token refresh: Digunakan untuk mendapatkan token akses baru.
API Alibaba Cloud	Sebuah aplikasi dapat mengakses sumber daya Alibaba Cloud yang sesuai dengan memanggil API Alibaba Cloud.

Skenario

Ruang Lingkup OAuth

Alibaba Cloud RAM menyediakan tiga cakupan OAuth: openid, aliuid, dan profile. Setelah memperoleh otorisasi pengguna, Anda dapat mengambil informasi yang tercantum dalam tabel berikut.

Parameter	Definisi	Contoh	Ruang Lingkup OAuth yang Diperlukan
exp	Stempel waktu UNIX saat token kedaluwarsa.	1517539523	openid
sub	String unik yang mengidentifikasi pengguna yang masuk. String ini tidak berisi informasi seperti UID Alibaba Cloud atau nama pengguna. Catatan Ketika pengguna yang masuk adalah Peran RAM, nilai sub dihasilkan berdasarkan `<RoleId:RoleSessionName>`. Setiap pengasumsi peran memiliki nilai sub yang unik.	123456789012****	openid
aud	Penerima token, yaitu ID aplikasi OAuth.	4567890123456****	openid
iss	Penerbit token. Nilainya adalah `https://oauth.aliyun.com`.	https://oauth.aliyun.com	openid
iat	Stempel waktu UNIX saat token diterbitkan.	1517533200	openid
aid	ID akun Alibaba Cloud tempat pengguna yang masuk milik.	177242285274****	aliuid
uid	ID pengguna yang masuk. Nilai valid: Akun Alibaba Cloud: ID akun Alibaba Cloud, yang sama dengan nilai aid. Pengguna RAM: ID Pengguna RAM. Peran RAM: ID Peran RAM.	20124982101502****	aliuid
type	Jenis pengguna yang masuk. Nilai valid: account: Akun Alibaba Cloud. user: Pengguna RAM. role: Peran RAM.	user	profile
login_name	Nama logon akun Alibaba Cloud. Catatan Parameter ini dikembalikan hanya ketika akun Alibaba Cloud memulai permintaan.	Alice	profile
upn	Nama logon pengguna RAM. Catatan Parameter ini dikembalikan hanya ketika Pengguna RAM memulai permintaan.	Bob@examplecompany.onaliyun.com	profile
name	Nama pengguna yang masuk. Nilai valid: Pengguna RAM: Nama tampilan Pengguna RAM. Peran RAM: `<RoleName:RoleSessionName>`. Catatan Parameter ini dikembalikan hanya ketika Pengguna RAM atau Peran RAM memulai permintaan.	Bob	profile