全部产品
Search

搜索本产品

    Elastic Desktop Service:Manajemen identitas dan akses

    文档中心

    Elastic Desktop Service:Manajemen identitas dan akses

    更新时间:Dec 06, 2025

    Manajemen identitas dan akses memastikan hanya administrator dan pengguna akhir yang berwenang yang dapat mengakses atau mengoperasikan sumber daya Alibaba Cloud tertentu, sehingga mencegah akses tidak sah atau berbahaya. Hal ini membantu memenuhi persyaratan kepatuhan dan audit. Topik ini menjelaskan kemampuan manajemen identitas dan akses yang disediakan oleh Elastic Desktop Service (EDS) Enterprise untuk meningkatkan keamanan.

    01 Manajemen akun

    1.1 Gunakan RAM user sebagai akun administrator

    Untuk mengurangi risiko potensial akibat akses berlebihan, hindari menggunakan Akun Alibaba Cloud Anda—yang memiliki akses penuh ke semua sumber daya cloud—sebagai akun administrator. Sebagai gantinya, buat Resource Access Management (RAM) user dengan hak istimewa administrator untuk login ke konsol EDS Enterprise dan tetapkan izin kepada RAM user tersebut sesuai kebutuhan bisnis spesifik Anda.

    • Status default: nonaktif

    • Tanggung jawab konfigurasi: pelanggan

    • Biaya fitur: gratis

    • Layanan dependensi: RAM

    • Kondisi: tidak ada

    1.2 Kelola siklus hidup akun end user

    Administrator EDS Edition dapat menetapkan sumber daya cloud (seperti komputer cloud) kepada pengguna akhir. Untuk menjaga keamanan sepanjang siklus hidup akun, lakukan tindakan berikut sesuai kebutuhan:

    • Segera tarik kembali komputer cloud yang dialokasikan kepada pengguna akhir ketika tidak lagi digunakan.

    • Nonaktifkan akun pengguna akhir bila diperlukan.

    • Pastikan penghapusan akun yang tidak lagi diperlukan dilakukan tepat waktu.

    • Tanggung jawab konfigurasi: pelanggan

    • Biaya fitur: gratis

    • Layanan dependensi: tidak ada

    • Kondisi: tidak ada

    Konfigurasi atau penggunaan

    Tarik kembali komputer cloud yang tidak digunakan

    1. Login ke Konsol Elastic Desktop Service Enterprise.

    2. Di panel navigasi kiri, pilih Resources > Cloud Computers.

    3. Di pojok kiri atas bilah navigasi atas, pilih wilayah.

    4. Di halaman Cloud Computers, temukan komputer cloud yang ingin Anda tetapkan dan klik ikon ⋮ di kolom Actions. Lalu, klik View/Add User.

    5. Di panel View/Add User, klik Add User.

    6. Di kotak dialog Add User, pilih satu atau beberapa pengguna yang ingin Anda tetapkan komputer cloud-nya, lalu klik OK.

      Pengguna yang telah ditetapkan komputer cloud-nya akan ditampilkan di bagian Added Users. Jika ingin menghapus pengguna tertentu, pilih pengguna tersebut dan klik Remove. Di pesan yang muncul, klik OK.

    Nonaktifkan akun yang tidak aktif

    Untuk menonaktifkan sementara akun convenience, Anda dapat menguncinya.

    • Untuk akun convenience yang diaktifkan administrator, Anda dapat menetapkan tanggal penguncian otomatis saat pembuatan atau menguncinya secara manual kapan saja setelah pembuatan. Untuk akun convenience yang diaktifkan pengguna, Anda hanya dapat menguncinya secara manual setelah pembuatan.

    • Ketika pengguna akhir login ke WUYING Terminal, akun tersebut akan dikunci otomatis selama 20 menit setelah 10 kali percobaan password salah berturut-turut. Akun akan dibuka kuncinya secara otomatis setelah 20 menit.

    Untuk mengunci akun convenience secara manual, lakukan langkah-langkah berikut:

    1. Di panel navigasi kiri, pilih Users > Users.

    2. Di tab User pada halaman Users, lakukan salah satu operasi berikut sesuai kebutuhan:

      • Operasi tunggal: Temukan akun convenience dan klik Lock di kolom Actions.

      • Operasi batch: Pilih beberapa akun convenience dan klik Lock di bagian bawah daftar.

        Catatan

        Operasi batch hanya didukung untuk akun convenience dengan jenis aktivasi yang sama.

    3. Di kotak dialog yang muncul, klik Confirm.

      Penting

      Pengguna akhir tidak dapat menggunakan akun convenience yang terkunci untuk login ke WUYING Terminal. Gunakan fitur ini dengan hati-hati.

    Hapus akun yang tidak diperlukan

    1. Di panel navigasi kiri, pilih Users > Users.

    2. Di tab User pada halaman Users, lakukan salah satu operasi berikut sesuai kebutuhan:

      • Operasi tunggal: Temukan akun convenience. Di kolom Actions, klik ikon ⋮ lalu pilih Delete.

      • Operasi batch: Pilih beberapa akun convenience dan di bagian bawah daftar, pilih More > Delete.

        Catatan

        Operasi batch hanya didukung untuk akun convenience dengan jenis aktivasi yang sama.

    3. Di kotak dialog yang muncul, klik Confirm.

    1.3 Konfigurasikan periode validitas password

    Secara default, akun pengguna akhir memiliki validitas password permanen. Namun, Anda dapat menetapkan periode validitas password antara 30 hingga 365 hari. Setelah password kedaluwarsa, pemilik harus menggantinya sebelum login kembali.

    • Status default: permanen

    • Tanggung jawab konfigurasi: pelanggan

    • Biaya fitur: gratis

    • Layanan dependensi: tidak ada

    • Kondisi: Fitur ini dalam pratinjau undangan. Jika ingin menggunakan fitur ini, submit a ticket.

    Konfigurasi atau penggunaan

    1. Login ke Konsol Elastic Desktop Service Enterprise.

    2. Di panel navigasi kiri, pilih Users > Users.

    3. Di tab User pada halaman Users & Organizations, temukan akun convenience yang diinginkan yang masa berlaku password-nya ingin Anda ubah, lalu klik ikon di kolom Password Expiration in N Days .

    4. Di jendela yang muncul, masukkan periode validitas baru dan klik OK.

    02 Pengelolaan izin

    2.1 Kontrol akses administrator bertingkat berbasis RAM

    Dengan EDS Enterprise, Anda dapat mengelola izin menggunakan Resource Access Management (RAM), sehingga RAM user yang berbeda dapat menangani aspek-aspek spesifik komputer cloud. Hal ini memungkinkan kontrol akses detail halus untuk manajemen yang lebih efisien.

    • Status default: nonaktif

    • Tanggung jawab konfigurasi: pelanggan

    • Biaya fitur: gratis

    • Layanan dependensi: RAM

    • Kondisi: tidak ada

    2.2 Kontrol akses administrator bertingkat berbasis sistem akun Alibaba Cloud Workspace

    Akun Alibaba Cloud yang Anda gunakan untuk login ke konsol EDS memiliki izin penuh atas fitur dan sumber daya EDS. Jika perusahaan Anda memiliki struktur organisasi yang kompleks, banyak departemen, serta jumlah karyawan dan komputer cloud yang besar, satu administrator tidak cukup untuk mengelola semua tugas. Selain itu, hanya memiliki satu administrator tidak memenuhi persyaratan isolasi izin untuk bisnis. Dalam skenario ini, administrator utama memerlukan satu atau beberapa sub-administrator untuk membantu mengelola tugas. Dalam situasi ini, persyaratan berikut harus dipenuhi:

    • Sub-administrator yang berbeda memiliki tingkat izin yang berbeda. Misalnya, Sub-administrator A dapat membuat dan mengelola pengguna tetapi tidak dapat membuat dan mengelola komputer cloud, sedangkan Sub-administrator B hanya dapat melihat data dan tidak dapat melakukan operasi lainnya.

    • Akses ke data yang berbeda dibatasi berdasarkan izin tertentu. Misalnya, Sub-administrator C memiliki izin untuk melihat dan mengelola hanya komputer cloud di departemen R&D, sedangkan Sub-administrator D memiliki izin untuk melihat dan mengelola hanya komputer cloud di departemen desain.

    Modul pengelolaan izin EDS Enterprise memenuhi persyaratan tersebut.

    • Status default: nonaktif

    • Tanggung jawab konfigurasi: pelanggan

    • Biaya fitur: gratis

    • Layanan dependensi: tidak ada

    • Kondisi: tidak ada

    Konfigurasi atau penggunaan

    Penting

    EDS Enterprise dan Cloud Phone menggunakan modul kontrol akses bertingkat yang sama. Oleh karena itu, pemberian izin di konsol salah satu produk akan berlaku untuk kedua produk tersebut.

    1. Di panel navigasi kiri, pilih Security & Audits > Administrator Permissions.

    2. Di halaman Administrator Permissions, klik Create Administrator, konfigurasikan parameter berikut, lalu klik OK.

      • Asosiasikan dengan RAM User: Resource Access Management (RAM) user yang digunakan sub-administrator untuk login ke konsol EDS guna menyelesaikan tugas manajemen. Asosiasikan RAM user dengan sub-administrator menggunakan salah satu metode berikut:

        • Pilih RAM user yang sudah ada di Akun Alibaba Cloud saat ini: Klik Existing RAM Users dan pilih peran RAM dari daftar drop-down.

        • Buat RAM user baru: Klik Create RAM User. Di halaman RAM Quick Authorization, klik Authorize.

          Catatan

          Nama dan password awal RAM user dikirimkan ke sub-administrator melalui alamat email atau nomor ponsel yang ditentukan.

      • Nickname: nama tampilan sub-administrator.

      • Role: peran default atau kustom yang dimainkan sub-administrator. Peran ini menentukan izin yang diberikan kepada sub-administrator.

      • Email Address: alamat email sub-administrator, yang digunakan untuk menerima kredensial login RAM user.

      • Mobile Number: nomor ponsel sub-administrator, yang digunakan untuk menerima kredensial login RAM user. Parameter ini opsional.

    3. Di tab Administrator, temukan sub-administrator yang baru dibuat dan klik Manage Authorization di kolom Actions.

    4. Di panel Manage Authorization, konfigurasikan cakupan otorisasi dan klik Confirm. Anda dapat memberikan izin berdasarkan jenis sumber daya dan kelompok sumber daya. Cakupan otorisasi akhir merupakan kombinasi dari kedua dimensi tersebut.

      1. Resource Type: Anda dapat memilih Cloud Computer atau User.

        Penting

        Setelah Anda memilih jenis sumber daya tertentu untuk sub-administrator, sub-administrator tersebut akan memiliki izin manajemen penuh atas jenis sumber daya tersebut, termasuk sumber daya jenis yang sama yang akan dibuat di masa depan. Misalnya, jika Anda memilih Cloud Computer, sub-administrator memiliki izin manajemen atas semua komputer cloud di Akun Alibaba Cloud saat ini, termasuk komputer cloud yang akan dibeli di masa depan.

      2. Available Resource Group: Di bagian Available Resource Group, pilih kelompok sumber daya yang ingin Anda berikan izinnya kepada sub-administrator dan klik ikon untuk memindahkannya ke bagian Authorized Resource Group.

    03 Autentikasi identitas

    3.1 MFA

    Autentikasi Multi-Faktor (MFA) adalah langkah keamanan sederhana namun efektif yang menambahkan lapisan perlindungan ekstra di luar username dan password saja. Fitur ini memerlukan autentikasi sekunder ketika administrator login ke konsol EDS Enterprise atau pengguna akhir mengakses terminal, sehingga memastikan keamanan akun dan sumber daya cloud Anda. Perlu diperhatikan bahwa proses ini tidak memengaruhi panggilan API yang dilakukan menggunakan Pasangan Kunci Akses.

    • Status default: nonaktif

    • Tanggung jawab konfigurasi: pelanggan

    • Biaya fitur: gratis

    • Layanan dependensi: tidak ada

    • Kondisi: tidak ada

    • Referensi: Konfigurasikan MFA

    Konfigurasi atau penggunaan

    Aktifkan MFA untuk Akun Alibaba Cloud

    1. Login ke Alibaba Cloud Management Console menggunakan Akun Alibaba Cloud.

    2. Arahkan pointer ke gambar profil di pojok kanan atas konsol, lalu klik Security Settings.

    3. Di bagian Account Protection pada halaman Security Settings, klik Edit.

      Catatan

      MFA telah diganti namanya menjadi Time-based One-time Password (TOTP).

    4. Di halaman Turn on Account Protection, pilih skenario dan metode verifikasi TOTP. Lalu, klik Submit.

    5. Di langkah Verify identity, pilih metode verifikasi.

    6. Di langkah Install the application, klik Next.

    7. Di perangkat seluler Anda, ikat perangkat virtual MFA.

      Catatan

      Contoh berikut menunjukkan cara mengikat perangkat virtual MFA di aplikasi Google Authenticator pada perangkat seluler berbasis iOS.

      1. Buka aplikasi Google Authenticator.

      2. Klik Get started dan pilih salah satu metode berikut untuk mengaktifkan perangkat virtual MFA:

        • Ketuk Scan a QR code di aplikasi Google Authenticator dan pindai kode QR yang ditampilkan di langkah Enable the MFA di Alibaba Cloud Management Console. Metode ini disarankan.

        • Ketuk Enter a setup key, masukkan akun dan kunci akun, lalu ketuk Add.

          Catatan

          Di langkah Enable the MFA di Alibaba Cloud Management Console, arahkan pointer ke Scan failed untuk melihat akun dan kuncinya.

    8. Di langkah Enable the MFA di Alibaba Cloud Management Console, masukkan kode verifikasi dinamis yang ditampilkan di aplikasi Google Authenticator. Lalu, klik Next untuk menyelesaikan pengaturan perlindungan akun.

      Catatan

      Kode verifikasi di aplikasi Google Authenticator diperbarui setiap 30 detik.

    Aktifkan MFA untuk akun end user (ID organisasi)

    1. Login ke Konsol Elastic Desktop Service Enterprise.

    2. Di panel navigasi kiri, pilih Users > Logon Settings.

    3. Di tab Logon Security pada halaman Logon Settings, aktifkan sakelar MFA.

    Aktifkan MFA untuk akun end user (jaringan kantor)

    1. Login ke Konsol Elastic Desktop Service Enterprise.

    2. Di panel navigasi kiri, pilih Networks & Storage > Office Networks.

    3. Di pojok kiri atas bilah navigasi atas, pilih wilayah.

    4. Di halaman Office Networks, temukan jaringan kantor yang ingin Anda kelola dan klik ID jaringan kantor tersebut.

    5. Di bagian Other Information, aktifkan sakelar MFA. Di pesan yang muncul, klik OK.

      Catatan

      Pastikan sakelar Client Logon Verification dan SSO dalam keadaan nonaktif.

    3.2 Tentukan terminal yang diizinkan

    Setiap terminal memiliki pengenal unik yang tidak dapat dipalsukan, disebut UUID, yang berfungsi sebagai identitas tepercayanya. UUID ini bersifat global unik dan tidak dapat dipalsukan, sehingga menjamin autentikasi yang aman. Administrator dapat mengaktifkan autentikasi perangkat tepercaya, sehingga membatasi pengguna akhir hanya dapat login melalui terminal yang telah ditentukan. Setelah autentikasi perangkat tepercaya diaktifkan, pengguna akhir tidak dapat mengakses komputer cloud dari terminal yang tidak sah.

    Konfigurasi atau penggunaan

    1. Di panel navigasi kiri, pilih Users > Users.

    2. Di tab User pada halaman Users, temukan pengguna tersebut. Di kolom Actions, klik ikon ⋮ lalu pilih View/Restrict Logon Terminals.

    3. Di panel View/Specify Logon Terminals, klik Add Terminal.

    4. Di kotak dialog Add Terminal, pilih klien software (desktop dan seluler) yang akan ditambahkan sebagai terminal login terbatas, lalu klik OK.

      Untuk menghapus terminal login terbatas, klik Remove di kolom Action untuk klien yang dituju, lalu klik OK di kotak dialog konfirmasi.

    3.3 Verifikasi login klien

    Fitur ini dinonaktifkan secara default. Setelah Anda mengaktifkan fitur ini, ketika pengguna akhir login ke WUYING Terminal dari perangkat baru, pengguna akhir harus menyelesaikan verifikasi menggunakan kode verifikasi email. Pengguna hanya dapat login berhasil setelah verifikasi berhasil.

    • Status default: nonaktif

    • Tanggung jawab konfigurasi: pelanggan

    • Biaya fitur: gratis

    • Layanan dependensi: tidak ada

    • Kondisi:

      Catatan

      Fitur ini hanya berlaku untuk akun convenience ketika jenis koneksi adalah Internet.

    • Referensi: Client logon verification

    Konfigurasi atau penggunaan

    Aktifkan verifikasi login klien untuk ID organisasi

    1. Login ke Konsol Elastic Desktop Service Enterprise.

    2. Di panel navigasi kiri, pilih Users > Logon Settings.

    3. Di halaman Logon, pada tab Security Configuration, aktifkan sakelar Client Logon Verification.

    4. Di jendela pop-up, konfirmasi informasi dalam pesan tersebut dan klik OK.

    Aktifkan verifikasi login klien untuk jaringan kantor

    1. Login ke Konsol Elastic Desktop Service Enterprise.

    2. Di panel navigasi kiri, pilih Networks & Storage > Office Networks.

    3. Di pojok kiri atas bilah navigasi atas, pilih wilayah.

    4. Di halaman Office Networks, temukan jaringan kantor tujuan dan klik ID jaringan kantor.

    5. Di bagian Other Information di bagian bawah halaman detail jaringan kantor, aktifkan sakelar Client Logon Verification.

      Catatan

      Pengaturan SSO, MFA, dan verifikasi login klien saling eksklusif. Pada satu waktu, Anda hanya dapat mengaktifkan salah satu metode verifikasi login tersebut untuk jaringan kantor. Untuk ID organisasi, fitur-fitur ini tidak saling eksklusif dan dapat diaktifkan secara bersamaan.

    6. Di jendela pop-up, konfirmasi informasi dalam pesan tersebut dan klik OK.

    04 Kontrol akses

    4.1 Kontrol akses terminal

    Kebijakan komputer cloud memungkinkan Anda mengelola akses terminal melalui kontrol metode login dan daftar putih alamat IP. Untuk meningkatkan keamanan, kami merekomendasikan agar Anda mengonfigurasi kebijakan ini untuk membatasi pengguna akhir hanya pada jenis terminal tertentu dan rentang alamat IP yang telah disetujui saat mengakses komputer cloud.

    • Anda dapat mengonfigurasi parameter Logon Method Control untuk memilih jenis terminal Alibaba Cloud Workspace yang dapat digunakan oleh pengguna akhir.

      Contoh: Untuk memastikan keamanan informasi perusahaan, administrator menetapkan parameter ini ke Windows Client dan macOS Client.

    • Anda dapat mengonfigurasi parameter CIDR Block Whitelist untuk menentukan Blok CIDR yang diizinkan untuk mengakses komputer cloud dari terminal Alibaba Cloud Workspace.

      Contoh: Untuk meningkatkan keamanan informasi perusahaan, administrator menambahkan Blok CIDR semua terminal Alibaba Cloud Workspace berbasis kantor ke daftar putih. Hal ini membatasi karyawan hanya dapat terhubung ke komputer cloud dari terminal Alibaba Cloud Workspace yang telah masuk daftar putih tersebut.

    • Status default: nonaktif

    • Tanggung jawab konfigurasi: pelanggan

    • Biaya fitur: gratis

    • Layanan dependensi: tidak ada

    • Kondisi: tidak ada

    Konfigurasi atau penggunaan

    1. Login ke Konsol Elastic Desktop Service Enterprise.

    2. Di panel navigasi kiri, pilih Operation & Maintenance > Policies.

    3. Di halaman Policies, klik Create Policy.

    4. Di halaman Create Policy, konfigurasikan parameter Policy Name sesuai petunjuk, sesuaikan konfigurasi kebijakan berdasarkan kebutuhan bisnis Anda, lalu klik OK.

      Setelah membuat kebijakan kustom, Anda dapat melihat kebijakan tersebut di halaman Policies.

    Parameter

    Deskripsi

    Logon Method Control

    Jenis terminal Alibaba Cloud Workspace yang dapat digunakan end user untuk terhubung ke komputer cloud. Jenis terminal Alibaba Cloud Workspace yang didukung meliputi:

    • Windows client

    • macOS client

    • iOS client

    • Android client

    • Web client

    Secara default, semua jenis dipilih. Konfigurasikan parameter ini sesuai kebutuhan bisnis Anda.

    CIDR Block Whitelist

    Rentang IP yang diizinkan (Blok CIDR) dari mana terminal Alibaba Cloud Workspace dapat mengakses komputer cloud.

    Klik Add CIDR block. Di kotak dialog Add CIDR block, masukkan Blok CIDR sesuai kebutuhan bisnis Anda dan klik OK.

    Contoh: 192.0.XX.XX/32 dan10.0.XX.XX/8.

    4.2 Logout otomatis yang dipicu timeout

    Secara default, logout otomatis yang dipicu timeout dinonaktifkan. Ketika fitur ini diaktifkan, terminal Alibaba Cloud Workspace akan secara otomatis logout pengguna akhir jika mereka tidak terhubung ke sumber daya cloud—seperti komputer cloud, aplikasi, ponsel, atau drive perusahaan—dalam periode timeout yang ditentukan. Fitur ini meningkatkan keamanan data dengan memastikan sesi aktif yang tidak digunakan segera dihentikan.

    • Status default: nonaktif

    • Tanggung jawab konfigurasi: pelanggan

    • Biaya fitur: gratis

    • Layanan dependensi: tidak ada

    • Kondisi: tidak ada

    Konfigurasi atau penggunaan

    1. Login ke Konsol Elastic Desktop Service Enterprise.

    2. Di panel navigasi kiri, pilih Users > Logon Settings.

    3. Di halaman Logon, pada tab General Configuration, klik Modify Logon Configuration di sebelah kanan Logon Configuration.

    4. Di panel Modify Logon Configuration, lengkapi konfigurasi berikut dan klik OK.

      Item konfigurasi

      Deskripsi

      Automatic Logout on Timeout

      Anda dapat mengaktifkan atau menonaktifkan fitur ini.

      Timeout Period

      Durasi di mana end user tidak terhubung ke sumber daya cloud apa pun di WUYING Terminal. Opsi ini terlihat ketika Automatic Logout On Timeout diaktifkan.

      Effective Terminals

      WUYING Terminal tempat fitur ini berlaku.

      Catatan

      Jika Anda memilih WUYING Proprietary Hardware Terminal, perhatikan bahwa fitur ini hanya berlaku untuk terminal hardware versi V7.5 ke atas. Jika login tanpa password dikonfigurasi untuk terminal hardware tersebut, logout otomatis saat timeout tidak berlaku.

      Catatan

      • Setelah Anda mengatur logout otomatis saat timeout klien, pengaturan tersebut akan berlaku saat pengguna akhir login ke klien berikutnya.

      • Sebelum periode timeout tercapai, pengguna akhir akan menerima pengingat. Pengguna akhir dapat memilih untuk menghentikan proses tersebut. Namun, jika pengguna akhir tidak mengambil tindakan apa pun, klien akan logout secara otomatis.