Panduan ini ditujukan bagi profesional yang telah terbiasa dengan fitur Microsoft Entra, seperti manajemen pengguna, penugasan role, dan akses kondisional. Panduan ini memetakan secara sistematis konsep inti, kasus penggunaan, serta perbedaan utama antara Microsoft Entra dan Resource Access Management (RAM) Alibaba Cloud untuk membantu Anda menemukan fitur setara dalam skenario multi-cloud dan menghindari kesalahpahaman akibat perbedaan desain dan terminologi.
Mengapa Anda memerlukan panduan ini
RAM Alibaba Cloud dan Microsoft Entra sangat berbeda dalam terminologi dan arsitektur. Jika Anda terbiasa dengan sistem identity and access management Azure (Microsoft Entra) dan kini perlu melakukan tugas serupa di Alibaba Cloud, penerapan langsung pengalaman Azure Anda dapat menyebabkan kesalahpahaman. Sebagai contoh:
Di Azure, "role" adalah kumpulan izin, sedangkan di Alibaba Cloud, "RAM role" adalah entitas identitas. Kedua konsep ini pada dasarnya berbeda.
Azure memisahkan manajemen identitas dari kontrol akses sumber daya, sedangkan RAM Alibaba Cloud menyediakan kontrol terpadu.
Alibaba Cloud tidak memiliki konsep "service principal". Sebagai gantinya, identitas programatik diimplementasikan menggunakan AccessKey atau melalui asumsi role.
Panduan ini menyediakan pemetaan konsep dan skenario secara sistematis untuk membantu Anda membangun model mental lengkap saat beralih dari Azure/Microsoft Entra ke kontrol akses Alibaba Cloud.
Dalam panduan ini
Panduan ini mencakup topik-topik berikut:
Pemetaan produk: Pahami pemetaan layanan inti antara Azure dan Alibaba Cloud serta perbedaan filosofi desainnya.
Pemetaan konsep inti: Bangun pemetaan terminologi antara kedua platform untuk arsitektur sumber daya, entitas identitas, dan model izin, serta pahami perbedaan utamanya.
Panduan skenario: Jelajahi solusi Alibaba Cloud yang sesuai dengan Azure/Microsoft Entra untuk skenario umum seperti otentikasi identitas, akses lintas tenant, audit log, dan integrasi pengembangan.
Pemetaan produk
Sebelum membahas detailnya, mari kita tinjau gambaran tingkat tinggi. Tabel berikut mencantumkan layanan inti dalam ekosistem Microsoft Entra dan padanannya di Alibaba Cloud.
Layanan Azure | Layanan Alibaba Cloud | Deskripsi |
Layanan manajemen identitas dan akses inti untuk masing-masing platform cloud. Menyediakan fitur seperti multi-factor authentication (MFA), single sign-on (SSO), integrasi aplikasi, dan penerbitan token. Untuk informasi lebih lanjut, lihat Otentikasi identitas dan integrasi aplikasi. | ||
RAM Alibaba Cloud menggunakan kebijakan untuk mengelola semua sumber daya dalam satu akun secara terpusat. Untuk informasi lebih lanjut, lihat Pemetaan konsep izin. | ||
API untuk mengelola entitas identitas, akses aplikasi, dan penugasan kebijakan. Untuk informasi lebih lanjut, lihat Pengembangan dan SDK. | ||
Menyediakan kemampuan akses lintas akun/tenant. Untuk informasi lebih lanjut, lihat Akses lintas akun/tenant. |
Perbedaan filosofi desain
Kedua platform menyediakan kemampuan manajemen identitas dan akses, tetapi menggunakan pendekatan arsitektur yang berbeda:
Microsoft Entra ID adalah layanan khusus untuk manajemen identitas dan akses di Azure. Tenant Entra ID merupakan batas identitas khusus untuk mengorganisasi secara terpusat entitas seperti pengguna, aplikasi, dan kebijakan akses. Batas ini independen dari langganan sumber daya Azure. Desain ini memfasilitasi tata kelola identitas terpadu di lingkungan enterprise yang kompleks.
Alibaba Cloud mengintegrasikan kontrol akses sebagai fitur bawaan dari Akun Alibaba Cloud. Akun Alibaba Cloud berfungsi sekaligus sebagai batas identitas dan manajemen sumber daya. Pengguna RAM, role, dan kebijakan semuanya didefinisikan dan berlaku dalam cakupan akun tersebut. Desain ini membuat hubungan antara identitas dan sumber daya lebih langsung, memungkinkan penyiapan sistem kontrol akses yang cepat.
Pemetaan konsep inti
Bagian ini memetakan secara sistematis terminologi dan perbedaan utama antara konsep inti kedua platform dari perspektif arsitektur sumber daya, entitas identitas, dan model izin.
Arsitektur manajemen sumber daya
Kedua platform menggunakan struktur pohon hirarkis untuk mengorganisasi sumber daya, tetapi nama dan makna tingkatannya berbeda.
Konsep Azure | Konsep Alibaba Cloud | Tingkat | Deskripsi |
Tenant | Management account | Kontainer tingkat atas | Kontainer manajemen tingkat atas untuk suatu perusahaan. Management account adalah pemilik seluruh Resource Directory dan memiliki kontrol penuh atas Resource Directory, folder, dan akun anggota. Folder Root adalah node tingkat atas dari struktur direktori. |
Management Group | Folder | Unit organisasi | Struktur hirarkis untuk mengorganisasi dan mengelola beberapa langganan/akun. Keduanya mendukung sub-management group/folder bersarang. |
Subscription | Member account | Batas isolasi | Akun anggota secara logis setara dengan langganan Azure dan berfungsi sebagai batas isolasi sumber daya. |
Resource Group | Resource group | Unit pengelompokan | Kontainer untuk sumber daya. Di Alibaba Cloud, resource group tidak digunakan untuk manajemen siklus hidup sumber daya. |
Resource | Resource | Sumber daya | Sumber daya cloud tertentu, seperti mesin virtual, penyimpanan, atau database. |
Hierarki sumber daya Azure
Azure menggunakan hierarki lima tingkat: tenant → management group → subscription → resource group → resource. Tenant berfungsi sebagai batas identitas. Management group digunakan untuk kontrol kepatuhan terpadu dan organisasi logis di berbagai langganan. Langganan adalah unit dasar untuk penagihan dan isolasi sumber daya.
Hierarki sumber daya Alibaba Cloud
Alibaba Cloud menggunakan hierarki management account → folder → member account → resource group → resource. Management account memiliki Resource Directory. Folder digunakan untuk mengorganisasi akun anggota, dan akun anggota merupakan batas isolasi sumber daya.
Perbedaan utama
Batas identitas vs. sumber daya: Tenant Microsoft Entra ID adalah batas identitas independen yang digunakan untuk mengisolasi data terkait identitas seperti pengguna, aplikasi, dan kebijakan akses. Anda tidak dapat langsung membuat sumber daya Azure di dalam tenant. Management account Alibaba Cloud pada dasarnya adalah Akun Alibaba Cloud dan dapat langsung membuat sumber daya. Namun, dalam konteks enterprise, tidak disarankan membuat sumber daya bisnis di bawah management account.
Resource Directory opsional: Langganan Azure harus dikaitkan dengan tenant dan harus menjadi bagian dari hierarki management group. Resource Directory Alibaba Cloud adalah fitur opsional. Struktur hirarkis management account dan folder hanya tersedia setelah Anda mengaktifkan Resource Directory. Jika Resource Directory tidak diaktifkan, Akun Alibaba Cloud dapat digunakan sebagai kontainer tingkat atas mandiri.
Pemetaan konsep identitas
Tabel berikut memetakan konsep entitas identitas antara kedua platform.
Istilah Microsoft Entra | Istilah RAM Alibaba Cloud | Jenis entitas | Deskripsi |
Identitas manusia | RAM user adalah entitas identitas dalam suatu akun dan tidak dapat eksis lintas akun (berbeda dengan pengguna tamu Entra ID). | ||
Identitas programatik | RAM user dapat membuat AccessKey untuk otentikasi programatik. Penggunaan AccessKey mirip dengan penggunaan client secret service principal. | ||
Identitas programatik | Memungkinkan workload mengakses sumber daya cloud tanpa mengelola kredensial jangka panjang. Fitur setara di Alibaba Cloud diimplementasikan berdasarkan RAM role. | ||
Pengelompokan | RAM user group hanya digunakan untuk otorisasi batch. | ||
User atau service principal yang diberikan izin | RAM user atau RAM role yang diberikan kebijakan | Administrator | Super administrator RAM memiliki kontrol penuh atas semua sumber daya (termasuk identitas) dalam akun tersebut. Administrator global Entra ID hanya dapat mengelola identitas, bukan langganan. |
Perbedaan utama
Desain identitas manusia: Microsoft Entra ID secara ketat memisahkan identitas manusia dan programatik. Entitas penggunanya dirancang khusus untuk orang alami, seperti karyawan internal atau mitra eksternal. Sebaliknya, RAM user Alibaba Cloud adalah identitas tujuan umum. Kasus penggunaannya ditentukan oleh kredensial yang dikonfigurasi: berfungsi sebagai identitas manusia ketika dikonfigurasi dengan password login konsol, dan sebagai identitas programatik ketika memiliki AccessKey.
Desain identitas programatik: Service principal Entra ID adalah entitas yang dirancang khusus untuk otentikasi aplikasi. Fitur seperti pendaftaran aplikasi, aplikasi enterprise, dan managed identities semuanya bergantung pada service principal. Alibaba Cloud, bagaimanapun, tidak memiliki jenis identitas terpisah untuk program. Baik RAM user maupun RAM role dapat digunakan oleh program atau layanan. Program dapat menggunakan AccessKey RAM user sebagai kredensial akses jangka panjang, atau dapat secara sementara mengasumsikan RAM role untuk memperoleh izin akses jangka pendek yang lebih aman.
Pemetaan konsep izin
Tabel berikut memetakan konsep manajemen izin antara kedua platform.
Istilah Azure/Microsoft Entra | Istilah RAM Alibaba Cloud | Deskripsi |
Kumpulan izin yang mendefinisikan tindakan apa yang dapat dilakukan oleh suatu identitas. | ||
Mengaitkan kebijakan dengan entitas identitas. | ||
Kumpulan izin yang telah ditentukan sebelumnya oleh penyedia cloud. | ||
Kumpulan izin yang ditentukan pengguna berdasarkan kebutuhannya. | ||
Kontrol akses berbasis kondisi, seperti pembatasan IP sumber atau persyaratan MFA. |
Perbedaan utama
Perbedaan semantik antara role dan kebijakan
Di Azure/Microsoft Entra, role merepresentasikan kumpulan izin dan berfungsi sebagai wadah izin, bukan identitas. Di RAM Alibaba Cloud, RAM role adalah jenis identitas yang harus diasumsikan oleh identitas lain dan diberikan kebijakan sebelum dapat melakukan tindakan. Konsep role di Entra ID berkorespondensi dengan kebijakan di RAM Alibaba Cloud.
Perbedaan cakupan kebijakan
Ekosistem Microsoft membagi izin: role Entra RBAC khusus untuk mengontrol akses ke sumber daya dalam tenant Entra (seperti pengguna, grup, dan service principal), sedangkan kontrol atas sumber daya cloud (seperti mesin virtual dan penyimpanan) ditangani oleh Azure RBAC. Sebaliknya, Alibaba Cloud menggunakan model manajemen terpadu. Cakupan kebijakan RAM mencakup semua layanan dan sumber daya di bawah satu akun cloud.
Selain itu, kebijakan RAM menawarkan fleksibilitas tinggi dalam granularitas otorisasi. Mendukung kontrol mulai dari tingkat layanan yang tinggi dan tingkat aksi spesifik hingga tingkat sumber daya yang paling granular.CatatanTingkat granularitas kontrol izin bervariasi di antara layanan Alibaba Cloud. Untuk detail tentang granularitas otorisasi yang didukung oleh setiap layanan cloud, lihat Layanan Alibaba Cloud yang mendukung RAM.
Skenario
Berdasarkan perbedaan arsitektur dan konsep yang dijelaskan sebelumnya, bagian ini memetakan solusi spesifik antara Microsoft Entra dan Alibaba Cloud untuk skenario umum seperti otentikasi identitas, akses lintas akun, audit log, dan integrasi pengembangan.
Otentikasi identitas dan integrasi aplikasi
Kedua platform menyediakan kemampuan untuk autentikasi multi-faktor, single sign-on enterprise, dan integrasi aplikasi, tetapi terdapat perbedaan dalam desain dan implementasinya.
Microsoft Entra | Alibaba Cloud | Kasus penggunaan | Deskripsi |
Mengelola pengguna/grup | Mengelola pengguna dan grup pengguna, seperti membuat, menghapus, dan memodifikasi atribut. | ||
Otentikasi multi-faktor | RAM mendukung berbagai metode MFA, termasuk MFA virtual (setara dengan Software OATH tokens Entra), passkey, ponsel keamanan (setara dengan SMS Entra), dan email keamanan. | ||
Federasi identitas | Alibaba Cloud mendukung mode SSO pengguna dan SSO role untuk integrasi dengan IdP enterprise. CloudSSO cocok untuk skenario multi-akun dalam Resource Directory. | ||
SSO enterprise | Manajemen aplikasi OAuth menyediakan integrasi otorisasi untuk skenario yang melibatkan layanan Alibaba Cloud. IDaaS Alibaba Cloud bertindak sebagai penyedia identitas (IdP) independen untuk integrasi aplikasi enterprise. | ||
- | Sinkronisasi akun | Menyinkronkan identitas enterprise on-premises ke cloud. | |
Layanan token kredensial | STS Alibaba Cloud digunakan untuk menerbitkan kredensial keamanan sementara dalam skenario asumsi role. Layanan OAuth digunakan untuk menerbitkan token akses untuk aplikasi OIDC/OAuth. |
Perbedaan utama
Federasi identitas
Entra ID dapat bertindak sebagai penyedia identitas (IdP) untuk mengintegrasikan aplikasi enterprise atau SaaS guna otentikasi terpadu. Entra ID juga dapat bertindak sebagai penyedia layanan (SP) untuk mempercayai dan terhubung dengan ADFS atau IdP pihak ketiga lainnya. Sebaliknya, RAM Alibaba Cloud terutama bertindak sebagai penyedia layanan (SP) untuk mempercayai dan mengintegrasikan dengan IdP enterprise yang sudah ada.
Layanan token
Microsoft Entra dan RAM Alibaba Cloud memiliki perbedaan signifikan dalam arsitektur penerbitan token. Entra ID menggunakan layanan distribusi token terpadu yang secara native mendukung protokol OAuth 2.0 dan OIDC. Semua entitas identitas (pengguna, aplikasi, service principal) memperoleh token akses berformat JWT melalui satu titik akhir tunggal. RAM Alibaba Cloud, di sisi lain, menyediakan dua layanan token yang relatif independen:
Layanan STS: Bertanggung jawab menerbitkan kredensial keamanan sementara (token STS) dalam skenario asumsi role atau SSO role.
Layanan OAuth: Digunakan untuk menerbitkan token akses berformat JWT untuk alat resmi (seperti Alibaba Cloud CLI) dan aplikasi OIDC/OAuth yang terdaftar di RAM.
Akses lintas akun/tenant
Kedua platform mendukung skenario akses lintas akun (dikenal sebagai lintas tenant di Entra ID), tetapi menggunakan mekanisme implementasi yang berbeda.
Microsoft Entra | Alibaba Cloud | Kasus penggunaan | Deskripsi |
Akses lintas akun untuk pengguna perusahaan | Di Alibaba Cloud, hal ini terutama dicapai dengan mengasumsikan RAM role di akun target. | ||
Akses lintas akun untuk aplikasi perusahaan | Entra ID mendukung pendaftaran aplikasi sebagai multi-tenant. Alibaba Cloud menggunakan STS AssumeRole untuk mendapatkan kredensial keamanan sementara. | ||
Akses aplikasi untuk pengguna konsumen | RAM tidak menyediakan fitur ini. Gunakan IDaaS CIAM Alibaba Cloud sebagai gantinya. |
Perbedaan utama
Di Entra ID, akses lintas tenant terutama mengandalkan mekanisme kolaborasi B2B. Tenant target perlu mengundang pengguna eksternal sebagai tamu dan menambahkannya ke direktorinya, lalu menugaskan role akses aplikasi atau sumber daya.
Di Alibaba Cloud, akses lintas akun dicapai melalui asumsi role, yang tidak memerlukan pembuatan entitas identitas apa pun di akun target. Program atau pengguna dapat memperoleh kredensial keamanan sementara dengan memanggil layanan STS (menggunakan antarmuka seperti AssumeRole, AssumeRoleWithSAML, atau AssumeRoleWithOIDC) untuk secara dinamis mengasumsikan identitas RAM role di akun target guna mengakses sumber daya.
Selain solusi umum asumsi RAM role, Alibaba Cloud juga menyediakan mekanisme otorisasi lintas akun berbasis sumber daya (seperti mengonfigurasi Kebijakan Bucket OSS atau menggunakan Berbagi Sumber Daya) sebagai solusi tambahan untuk produk tertentu.
Pencatatan dan audit
Kedua platform menyediakan kemampuan auditing dan pencatatan operasional yang komprehensif.
Microsoft Entra | Alibaba Cloud | Deskripsi |
Keduanya digunakan untuk melacak operasi konsol dan API. ActionTrail adalah layanan terpisah di Alibaba Cloud, bukan fitur bawaan RAM. | ||
ActionTrail (event sign-in) | Di Alibaba Cloud, event sign-in konsol dicatat dalam log ActionTrail. Tidak ada layanan log sign-in terpisah. | |
Keduanya digunakan untuk mengonfigurasi penyimpanan jangka panjang dan analisis log. |
Perbedaan utama
Kategorisasi log: Entra ID memisahkan log sign-in dari log audit untuk membedakan dengan cepat perilaku otentikasi dari tindakan administratif selama pelacakan keamanan. Sebaliknya, Alibaba Cloud menggunakan model manajemen terpusat, menggabungkan event otentikasi identitas seperti sign-in konsol ke dalam layanan ActionTrail.
Pemetaan cakupan audit: Log audit Entra ID hanya fokus pada sisi identitas, mencatat operasi pada objek direktori dalam tenant (seperti pengguna, grup, dan aplikasi). Operasi pada sumber daya cloud dicatat oleh log aktivitas Azure. Oleh karena itu, dalam hal pemetaan konsep, kombinasi log audit Entra ID dan log aktivitas Azure berkorespondensi dengan ActionTrail Alibaba Cloud, yang mencakup operasi identitas RAM dan operasi sumber daya cloud global.
Pengembangan dan SDK
Kedua platform menyediakan alat dan SDK pengembangan yang komprehensif.
Microsoft Entra | Alibaba Cloud RAM | Kasus penggunaan | Deskripsi |
Integrasi aplikasi OAuth/OIDC | Keduanya dapat digunakan untuk membangun aplikasi OAuth/OIDC dan mengintegrasikannya dengan platform otentikasi cloud. | ||
Pemanggilan API | Keduanya menyediakan manajemen siklus hidup penuh untuk entitas identitas (seperti pengguna dan grup), akses aplikasi, dan penugasan kebijakan. | ||
SDK otentikasi identitas | Modul penyedia kredensial dalam SDK Alibaba Cloud menyediakan fitur manajemen kredensial. Keduanya mendukung rantai kredensial. | ||
- | Pustaka otentikasi | Pustaka otentikasi seperti MSAL membantu pengembang mengintegrasikan aplikasi dengan Microsoft Identity Platform. Alibaba Cloud tidak memiliki pustaka otentikasi setara; Anda harus menggunakan pustaka OAuth/OIDC pihak ketiga. |
Hanya beberapa operasi OpenAPI Alibaba Cloud yang saat ini mendukung pemanggilan menggunakan token akses (Bearer Token). Untuk detailnya, lihat Kredensial. Sebaliknya, semua operasi REST API Azure dan Microsoft Graph dipanggil menggunakan token akses yang diterbitkan oleh layanan token Entra.
Perbedaan utama
Desain arsitektur API: Microsoft Entra menggunakan satu titik masuk global. Semua panggilan terkait identitas, aplikasi, dan kebijakan menggunakan API Microsoft Graph. Sebaliknya, RAM Alibaba Cloud menggunakan desain yang membagi fungsi ke dalam modul, menggunakan tiga titik akhir API independen berikut untuk skenario berbeda:
IMS (Identity Management Service): Mengelola siklus hidup entitas identitas (seperti pengguna dan grup), konfigurasi SSO, dan manajemen aplikasi OAuth.
RAM (layanan Resource Access Management): Menangani manajemen kebijakan dan konfigurasi otorisasi.
STS (Security Token Service): Memfasilitasi asumsi role dan menerbitkan kredensial keamanan sementara.