全部产品
Search

搜索本产品

    Resource Access Management:Ikhtisar SSO Berbasis OIDC

    文档中心

    Resource Access Management:Ikhtisar SSO Berbasis OIDC

    更新时间:Jul 06, 2025

    OpenID Connect (OIDC) adalah protokol otentikasi yang dikembangkan berdasarkan Open Authorization (OAuth) 2.0. Alibaba Cloud Resource Access Management (RAM) mendukung single sign-on (SSO) berbasis OIDC.

    Istilah

    Istilah

    Deskripsi

    OIDC

    Protokol otentikasi yang dikembangkan berdasarkan OAuth 2.0. Untuk informasi lebih lanjut, lihat OIDC dan OAuth 2.0. OAuth adalah protokol otorisasi. OIDC menambahkan lapisan identitas untuk memperluas OAuth. Dengan cara ini, OIDC dapat menggunakan OAuth untuk otorisasi. OIDC juga memungkinkan klien memverifikasi identitas pengguna dan menggunakan API RESTful HTTP untuk mendapatkan informasi dasar tentang pengguna.

    Token OIDC

    Token identitas yang dikeluarkan oleh OIDC ke aplikasi. Token OIDC adalah token identitas yang menunjukkan pengguna yang masuk. Token OIDC dapat digunakan untuk mendapatkan informasi dasar tentang pengguna yang masuk.

    Token STS

    Kredensial identitas sementara yang disediakan oleh Layanan Token Keamanan Alibaba Cloud (STS). STS memungkinkan Anda mengelola kredensial sementara untuk sumber daya Alibaba Cloud Anda. Anda dapat mengonfigurasi periode validitas dan menentukan izin akses untuk token STS. Untuk informasi lebih lanjut tentang STS, lihat Apa itu STS?

    URL penerbit

    URL penerbit yang disediakan oleh penyedia identitas eksternal (IdP). URL ditunjukkan oleh bidang iss dalam token OIDC. URL penerbit harus dimulai dengan https dan berada dalam format URL yang valid. URL tidak boleh berisi parameter kueri yang mengikuti tanda tanya (?) atau informasi logon yang diidentifikasi oleh tanda at (@). URL tidak boleh menjadi URL fragmen yang berisi tanda pagar (#).

    sidik jari

    Sidik jari yang dihasilkan berdasarkan sertifikat HTTPS dari IdP eksternal. Anda dapat menggunakan sidik jari untuk mencegah URL penerbit diretas atau dirusak. Alibaba Cloud menghitung sidik jari. Kami merekomendasikan agar Anda menghitung sidik jari di komputer Anda. Sebagai contoh, Anda dapat menggunakan OpenSSL untuk mendapatkan sidik jari IdP OIDC. Untuk informasi lebih lanjut, lihat Gunakan OpenSSL untuk mendapatkan sidik jari IdP OIDC. Kemudian, Anda dapat membandingkan hasil perhitungan dengan hasil perhitungan yang disediakan oleh Alibaba Cloud. Jika hasil perhitungan berbeda, URL penerbit mungkin telah diserang. Pastikan Anda memasukkan sidik jari yang valid.

    Catatan

    Jika Anda ingin memutar sertifikat IdP Anda, kami merekomendasikan agar Anda menghasilkan sidik jari sertifikat baru dan menambahkan sidik jari ke IdP OIDC yang Anda buat di konsol RAM sebelum rotasi. Setelah setidaknya satu hari, putar sertifikat. Anda dapat menghapus sidik jari sebelumnya setelah Anda mendapatkan token Layanan Token Keamanan (STS).

    ID klien

    ID yang dihasilkan untuk aplikasi saat Anda mendaftarkan aplikasi di IdP eksternal. Saat Anda mengajukan token OIDC dari IdP eksternal, Anda harus menggunakan ID klien. ID klien ditentukan dalam bidang aud token OIDC yang diterbitkan. Saat Anda membuat IdP OIDC, Anda harus mengonfigurasi ID klien. Jika Anda ingin menggunakan token OIDC untuk mendapatkan token STS, Alibaba Cloud memeriksa apakah ID klien yang ditentukan dalam bidang aud sama dengan ID klien yang Anda konfigurasikan di IdP OIDC. Anda hanya dapat mengasumsikan Peran RAM jika ID klien sama.

    Skenario

    Jika aplikasi perusahaan menggunakan pasangan AccessKey tetap untuk sering mengakses sumber daya Alibaba Cloud dan perusahaan tersebut kekurangan langkah-langkah perlindungan keamanan, risiko potensial dapat muncul akibat kebocoran pasangan AccessKey. Untuk menyelesaikan masalah ini, perusahaan dapat mendaftarkan aplikasi di IdP OIDC yang dikelola sendiri atau IdP OIDC pihak ketiga, seperti Google G Suite, dan Okta. Dengan cara ini, IdP OIDC dapat menghasilkan token OIDC untuk aplikasi. Selanjutnya, aplikasi dapat menggunakan token OIDC untuk mendapatkan token STS guna mengakses sumber daya Alibaba Cloud secara aman.

    Selain itu, pengembang individu atau karyawan usaha kecil dan menengah dapat masuk ke Konsol Manajemen Alibaba Cloud menggunakan identitas yang terdaftar di situs web, seperti situs jejaring sosial. Jika situs web mendukung token OIDC, pengguna dapat menggunakan RAM untuk menerapkan SSO berbasis OIDC.

    Proses

    OIDC角色SSO流程图

    1. Daftarkan aplikasi di IdP eksternal dan dapatkan ID klien aplikasi.

    2. Di Konsol RAM, buat IdP OIDC dan konfigurasikan hubungan kepercayaan antara Alibaba Cloud dan IdP eksternal.

      Untuk informasi lebih lanjut, lihat Buat IdP OIDC.

    3. Di Konsol RAM, buat Peran RAM dengan entitas tepercayanya sebagai IdP OIDC dan berikan izin kepada Peran RAM.

      Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk IdP OIDC dan Berikan izin kepada Peran RAM.

    4. Ajukan token OIDC dari IdP eksternal.

      Untuk informasi lebih lanjut, lihat dokumentasi IdP eksternal.

    5. Gunakan token OIDC untuk mendapatkan token STS.

      Untuk informasi lebih lanjut, lihat AssumeRoleWithOIDC.

    6. Gunakan token STS untuk mengakses sumber daya Alibaba Cloud.

    Contoh Konfigurasi

    Implementasikan SSO Berbasis OIDC dari Okta

    Batasan

    Item

    Batas atas

    Jumlah IdP OIDC yang dapat dibuat dalam akun Alibaba Cloud

    100

    Jumlah ID klien yang dapat ditambahkan ke IdP OIDC

    50

    Jumlah sidik jari yang dapat ditambahkan ke IdP OIDC

    5