Alibaba Cloud mendukung single sign-on (SSO) berbasis Security Assertion Markup Language (SAML) 2.0 dan OpenID Connect (OIDC), yang juga dikenal sebagai federasi identitas. Topik ini menjelaskan cara perusahaan Anda menggunakan sistem identitasnya untuk mengimplementasikan SSO dengan Alibaba Cloud.
Konsep Dasar SSO
Istilah | Deskripsi |
Penyedia Identitas (IdP) | Entitas Resource Access Management (RAM) yang berisi metadata dari IdP eksternal. Sebuah IdP dapat menyediakan layanan manajemen identitas.
|
Penyedia Layanan (SP) | Aplikasi yang menggunakan fitur manajemen identitas dari IdP untuk memberikan layanan kepada pengguna. SP menggunakan informasi pengguna yang disediakan oleh IdP. Dalam beberapa sistem identitas yang tidak didasarkan pada protokol SAML, seperti OIDC, SP juga dikenal sebagai pihak yang bergantung pada IdP. |
Bahasa Markup Penegasan Keamanan 2.0 (SAML 2.0) | Protokol standar untuk otentikasi identitas pengguna perusahaan. Ini adalah salah satu metode teknis untuk komunikasi antara SP dan IdP. SAML 2.0 adalah standar de facto untuk mengimplementasikan SSO tingkat perusahaan. |
Penegasan SAML | Elemen inti dalam protokol SAML yang menggambarkan permintaan dan tanggapan otentikasi. Misalnya, atribut spesifik pengguna termasuk dalam pernyataan dari respons otentikasi. |
Kepercayaan | Mekanisme kepercayaan timbal balik yang dibangun antara SP dan IdP, yang biasanya diimplementasikan menggunakan kunci publik dan kunci privat. SP memperoleh metadata SAML dari IdP secara tepercaya. Metadata tersebut berisi kunci publik untuk verifikasi tanda tangan pernyataan SAML yang dikeluarkan oleh IdP. SP kemudian menggunakan kunci publik untuk memverifikasi integritas pernyataan tersebut. |
OIDC | OpenID Connect (OIDC) adalah protokol otentikasi yang dibangun di atas OAuth 2.0. OAuth adalah protokol otorisasi. OIDC membangun lapisan identitas di atas protokol OAuth. Selain kemampuan otorisasi yang disediakan oleh OAuth, OIDC memungkinkan klien memverifikasi identitas pengguna akhir dan mendapatkan informasi dasar mereka melalui API OIDC, yang berformat HTTP RESTful. |
Token OIDC | OIDC dapat menerbitkan Token ID, yaitu token OIDC, ke aplikasi untuk mewakili pengguna yang telah masuk. Token OIDC digunakan untuk mendapatkan informasi dasar pengguna yang telah masuk. |
ID Klien | Saat Anda mendaftarkan aplikasi Anda dengan IdP eksternal, ID klien akan dihasilkan. Anda harus menggunakan ID klien ini saat meminta token OIDC dari IdP eksternal. Token OIDC yang diterbitkan membawa ID klien ini di bidang |
Sidik jari verifikasi | Untuk mencegah URL penerbit dimanipulasi atau dirusak secara jahat, Anda perlu mengonfigurasikan sidik jari verifikasi yang dihasilkan dari sertifikat CA HTTPS IdP eksternal. Alibaba Cloud membantu Anda menghitung sidik jari verifikasi ini secara otomatis. Namun, kami sarankan Anda menghitungnya secara lokal satu kali (misalnya, Gunakan OpenSSL untuk mendapatkan sidik jari IdP OIDC) dan membandingkannya dengan sidik jari yang dihitung oleh Alibaba Cloud. Jika berbeda, URL penerbit mungkin telah diserang. Pastikan untuk mengonfirmasi lagi dan memasukkan sidik jari yang benar. |
URL Penerbit | URL penerbit disediakan oleh IdP eksternal dan sesuai dengan nilai bidang |
Kredensial identitas sementara | Layanan Token Keamanan (STS) adalah layanan Alibaba Cloud untuk pengelolaan izin akses sementara. Anda dapat menggunakan STS untuk mendapatkan kredensial identitas sementara (Token STS) yang memiliki periode validitas dan izin akses yang dapat disesuaikan. |
Metode SSO
Alibaba Cloud menyediakan dua metode SSO berikut:
SSO berbasis pengguna
Alibaba Cloud menentukan pemetaan antara pengguna perusahaan dan Pengguna RAM Alibaba Cloud berdasarkan pernyataan SAML yang dikeluarkan oleh IdP. Setelah masuk, pengguna perusahaan mengakses sumber daya Alibaba Cloud sebagai Pengguna RAM. Untuk informasi lebih lanjut, lihat Ikhtisar SSO berbasis pengguna.
SSO berbasis peran
Dua jenis SSO berbasis peran didukung: berbasis SAML 2.0 dan berbasis OIDC.
SSO peran berbasis SAML: Alibaba Cloud menentukan Peran RAM yang dapat diasumsikan oleh pengguna perusahaan berdasarkan pernyataan SAML yang dikeluarkan oleh IdP. Setelah masuk, pengguna perusahaan mengasumsikan Peran RAM yang ditentukan dalam pernyataan SAML untuk mengakses sumber daya Alibaba Cloud. Untuk informasi lebih lanjut, lihat Ikhtisar SSO peran berbasis SAML.
SSO peran berbasis OIDC: Pengguna perusahaan menggunakan token OIDC yang dikeluarkan oleh IdP untuk memanggil API Alibaba Cloud guna mengasumsikan peran tertentu dan menukar token tersebut dengan token Layanan Token Keamanan (STS). Pengguna kemudian menggunakan token STS untuk mengakses sumber daya Alibaba Cloud secara aman. Untuk informasi lebih lanjut, lihat Ikhtisar SSO peran berbasis OIDC.
Perbandingan Metode SSO
Metode SSO | SSO yang dimulai oleh SP | SSO yang dimulai oleh IdP | Masuk menggunakan akun dan kata sandi Pengguna RAM | Asosiasikan IdP dengan beberapa Akun Alibaba Cloud dalam satu konfigurasi | Beberapa IdP |
SSO berbasis pengguna | Didukung | Didukung | Tidak didukung | Tidak didukung | Tidak didukung |
SSO berbasis peran | Tidak didukung | Didukung | Didukung | Didukung | Didukung |
Untuk perbandingan lebih rinci antara SSO berbasis pengguna dan SSO berbasis peran, lihat Skenario untuk metode SSO.