Alibaba Cloud mendukung Single Sign-On (SSO) berbasis Security Assertion Markup Language (SAML) 2.0 dan OpenID Connect (OIDC), yang juga dikenal sebagai federasi identitas. Topik ini memperkenalkan istilah terkait SSO serta menjelaskan cara mengimplementasikan SSO antara sistem manajemen identitas perusahaan dan Alibaba Cloud.
Istilah
Istilah | Deskripsi |
identity provider (IdP) | Entitas RAM yang menyediakan layanan manajemen identitas. IdP diklasifikasikan ke dalam tipe berikut:
|
service provider (SP) | Aplikasi yang menggunakan fitur manajemen identitas dari IdP untuk menyediakan layanan tertentu kepada pengguna. SP menggunakan informasi pengguna yang disediakan oleh IdP. Dalam sistem identitas tertentu yang tidak berbasis protokol SAML, seperti OIDC, SP dikenal sebagai relying party dari IdP. |
Security Assertion Markup Language 2.0 (SAML 2.0) | Protokol yang dirancang untuk otentikasi identitas pengguna tingkat perusahaan. SAML 2.0 digunakan untuk komunikasi antara SP dan IdP. SAML 2.0 merupakan standar yang digunakan perusahaan untuk mengimplementasikan SSO tingkat perusahaan. |
SAML assertion | Elemen inti yang didefinisikan dalam protokol SAML. Elemen ini menjelaskan permintaan dan respons otentikasi. Sebagai contoh, SAML assertion untuk respons otentikasi dapat berisi atribut pengguna. |
trust | Hubungan kepercayaan timbal balik antara SP dan IdP. Dalam kebanyakan kasus, hubungan kepercayaan ini dibangun menggunakan kunci publik dan kunci privat. SP dapat memperoleh metadata SAML dari IdP yang dipercaya. Metadata tersebut mencakup kunci publik. SP menggunakan kunci publik tersebut untuk memverifikasi integritas SAML assertion yang dikeluarkan oleh IdP. |
OIDC | Protokol otentikasi yang dikembangkan berdasarkan Open Authorization (OAuth) 2.0. Untuk informasi lebih lanjut, lihat OIDC dan OAuth 2.0. OAuth adalah protokol otorisasi. OIDC menambahkan lapisan identitas untuk memperluas OAuth. Dengan demikian, OIDC dapat menggunakan OAuth untuk otorisasi. OIDC juga memungkinkan client untuk memverifikasi identitas pengguna dan menggunakan API RESTful HTTP untuk memperoleh informasi dasar tentang pengguna tersebut. |
OIDC token | Token identitas yang dikeluarkan oleh OIDC kepada sebuah aplikasi. OIDC token merupakan token identitas yang menunjukkan pengguna yang masuk log. OIDC token dapat digunakan untuk memperoleh informasi dasar tentang pengguna yang masuk log. |
client ID | ID yang dihasilkan untuk aplikasi saat Anda mendaftarkan aplikasi tersebut di IdP eksternal. Saat Anda mengajukan token OIDC dari IdP eksternal, Anda harus menggunakan client ID. Client ID tersebut ditentukan dalam bidang |
fingerprint | Sidik jari yang dihasilkan berdasarkan sertifikat HTTPS dari IdP eksternal. Anda dapat menggunakan sidik jari untuk mencegah URL issuer dibajak atau dimanipulasi. Alibaba Cloud menghitung sidik jari tersebut. Kami menyarankan agar Anda menghitung sidik jari di komputer Anda sendiri. Misalnya, Anda dapat menggunakan OpenSSL untuk memperoleh sidik jari OIDC IdP. Untuk informasi lebih lanjut, lihat Gunakan OpenSSL untuk memperoleh sidik jari OIDC IdP. Kemudian, Anda dapat membandingkan hasil perhitungan Anda dengan hasil perhitungan yang disediakan oleh Alibaba Cloud. Untuk informasi lebih lanjut tentang OpenSSL, kunjungi situs resmi OpenSSL. Jika hasil perhitungannya berbeda, kemungkinan URL issuer telah diserang. Pastikan Anda memasukkan sidik jari yang valid. |
URL of an issuer | URL issuer yang disediakan oleh IdP eksternal. URL tersebut ditunjukkan oleh bidang |
STS token | Kredensial identitas temporary yang disediakan oleh Alibaba Cloud Security Token Service (STS). STS memungkinkan Anda mengelola kredensial temporary untuk sumber daya Alibaba Cloud Anda. Anda dapat mengonfigurasi periode validitas dan menentukan izin akses untuk token STS. Untuk informasi lebih lanjut tentang STS, lihat Apa itu STS? |
Metode SSO
Alibaba Cloud menyediakan metode SSO berikut:
User-based SSO
Identitas RAM user yang digunakan untuk masuk ke Konsol Manajemen Alibaba Cloud ditentukan berdasarkan SAML assertion. Setelah masuk ke Konsol Manajemen Alibaba Cloud, Anda dapat mengakses sumber daya Alibaba Cloud sebagai RAM user tersebut. Untuk informasi lebih lanjut, lihat Ikhtisar user-based SSO.
Role-based SSO
Alibaba Cloud mendukung SSO berbasis SAML 2.0 dan SSO berbasis OIDC.
SSO berbasis SAML 2.0: RAM role yang digunakan untuk masuk ke Konsol Manajemen Alibaba Cloud ditentukan berdasarkan SAML assertion. Setelah masuk ke Konsol Manajemen Alibaba Cloud, Anda dapat mengakses sumber daya Alibaba Cloud menggunakan RAM role yang ditentukan dalam SAML assertion tersebut. Untuk informasi lebih lanjut, lihat Ikhtisar.
SSO berbasis OIDC: Anda dapat menggunakan token OIDC yang dikeluarkan oleh IdP untuk memanggil operasi Alibaba Cloud guna mengasumsikan RAM role tertentu dan memperoleh token STS. Token STS tersebut kemudian dapat digunakan untuk mengakses sumber daya Alibaba Cloud. Untuk informasi lebih lanjut, lihat Ikhtisar role-based SSO berbasis OIDC.
Perbandingan antara role-based SSO dan user-based SSO
Metode SSO | SP-initiated SSO | IdP-initiated SSO | Login menggunakan nama pengguna dan kata sandi RAM user | Asosiasi beberapa Akun Alibaba Cloud dengan satu IdP | Multiple IdPs |
User-based SSO | Didukung | Didukung | Tidak didukung | Tidak didukung | Tidak didukung |
Role-based SSO | Tidak didukung | Didukung | Didukung | Didukung | Didukung |
Untuk informasi lebih lanjut tentang perbedaan antara kedua metode SSO tersebut, lihat Kasus penggunaan SSO.