Resource Access Management (RAM) mendukung OpenID Connect (OIDC) sebagai metode federasi, memungkinkan aplikasi menukar token OIDC dari penyedia identitas (IdP) tepercaya dengan kredensial sementara Alibaba Cloud untuk mengaktifkan akses aman berbasis peran ke sumber daya cloud Anda.
Kasus penggunaan
SSO berbasis peran dengan OIDC merupakan alternatif yang lebih aman dibandingkan penggunaan pasangan Kunci Akses jangka panjang untuk aplikasi yang perlu mengakses sumber daya Alibaba Cloud. Kasus penggunaan umum meliputi:
Aplikasi perusahaan: Anda dapat mendaftarkan aplikasi internal ke IdP perusahaan Anda (seperti Okta, Google Workspace, atau sistem Anda sendiri yang kompatibel dengan OIDC). Aplikasi tersebut kemudian dapat memperoleh token OIDC dan menukarnya dengan kredensial sementara Alibaba Cloud untuk menjalankan tugasnya.
Aplikasi pihak ketiga dan aplikasi seluler: Anda dapat mengembangkan aplikasi yang memungkinkan pengguna masuk menggunakan identitas mereka dari sistem eksternal. Jika penyedia tersebut mendukung OIDC, aplikasi Anda dapat menggunakan token OIDC yang dikeluarkan untuk mengasumsikan peran RAM dan berinteraksi dengan layanan Alibaba Cloud atas nama pengguna.
Cara kerja SSO berbasis peran dengan OIDC
Proses federasi OIDC melibatkan pembentukan hubungan kepercayaan antara IdP Anda dan Alibaba Cloud, diikuti oleh penukaran token dengan kredensial sementara.
Konfigurasikan kepercayaan: Anda pertama-tama membentuk hubungan kepercayaan dengan membuat OIDC IdP di Konsol RAM dan peran RAM yang sesuai yang memercayai IdP ini.
Minta token OIDC: Aplikasi Anda melakukan autentikasi pengguna terhadap IdP eksternal dan meminta token OIDC.
Tukar dengan token STS: Aplikasi Anda memanggil operasi API AssumeRoleWithOIDC dari Alibaba Cloud Security Token Service (STS), dengan menyertakan token OIDC dan ARN dari peran RAM yang ingin diasumsikan.
Validasi dan terbitkan token STS: STS memvalidasi signature, issuer, dan audience (Client ID) token OIDC. Jika validasi berhasil, STS mengembalikan kredensial keamanan sementara (token STS).
Akses sumber daya: Aplikasi Anda menggunakan token STS untuk membuat panggilan API terautentikasi ke sumber daya Alibaba Cloud dengan izin yang diberikan oleh peran RAM yang diasumsikan.
Konsep utama
Konsep | Deskripsi |
OIDC | OIDC adalah lapisan identitas yang dibangun di atas protokol OAuth 2.0. Protokol ini memungkinkan klien memverifikasi identitas pengguna berdasarkan autentikasi yang dilakukan oleh server otorisasi dan memperoleh informasi profil dasar tentang pengguna tersebut. |
Token OIDC (Token ID) | Token Web JSON (JWT) yang berisi klaim mengenai event autentikasi, seperti ID pengguna, penerbit token, dan klien yang menjadi tujuan token tersebut. |
Client ID | Identifikasi unik untuk aplikasi yang terdaftar pada OIDC IdP. Nilai ini disertakan sebagai klaim audience ( |
Issuer URL | URL yang mengidentifikasi OIDC IdP. Nilai ini disertakan sebagai klaim issuer ( |
Thumbprint (Fingerprint) | Identifikasi unik untuk sertifikat CA root dari server OIDC IdP. Nilai ini digunakan untuk memverifikasi keaslian kunci publik IdP. Untuk informasi lebih lanjut, lihat Dapatkan thumbprint untuk OIDC IdP. Catatan Sebelum memutar (rotate) sertifikat IdP Anda, tambahkan thumbprint sertifikat baru ke konfigurasi penyedia OIDC di RAM. Setelah memastikan federasi dengan sertifikat baru berfungsi, Anda dapat menghapus thumbprint lama. |
STS token | Kredensial keamanan sementara yang disediakan oleh Alibaba Cloud Security Token Service (STS). Dalam SSO terfederasi, pengguna menukar pernyataan SAML atau token OIDC dengan token STS untuk membuat panggilan API terautentikasi ke layanan Alibaba Cloud. |
Panduan konfigurasi
Untuk panduan langkah demi langkah, lihat Konfigurasikan federasi dengan Okta.
Kuota layanan
Resource | Maksimum |
OIDC IdP per Akun Alibaba Cloud | 100 |
Client ID per OIDC IdP | 50 |
Thumbprint per OIDC IdP | 5 |