Trace Id is missing
Lompati ke konten utama
Microsoft Security

Apa itu OIDC?

Pelajari tentang OpenID Connect (OIDC), protokol autentikasi yang memverifikasi identitas pengguna saat mereka masuk untuk mengakses sumber daya digital.

OpenID Connect (OIDC) ditentukan

OpenID Connect (OIDC) adalah protokol autentikasi identitas yang merupakan perpanjangan dari otorisasi terbuka (OAuth) 2.0 untuk menstandardisasi proses autentikasi dan otorisasi pengguna saat mereka masuk untuk mengakses layanan digital. OIDC menyediakan autentikasi, yang berarti memverifikasi bahwa pengguna adalah orang yang mereka katakan. OAuth 2.0 mengotorisasi sistem mana yang diizinkan untuk diakses pengguna tersebut. OAuth 2.0 biasanya digunakan untuk mengaktifkan dua aplikasi yang tidak terkait untuk berbagi informasi tanpa mengorbankan data pengguna. Misalnya, banyak orang menggunakan email atau akun media sosial mereka untuk masuk ke situs pihak ketiga daripada membuat nama pengguna dan kata sandi baru. OIDC juga digunakan untuk menyediakan sistem masuk tunggal. Organisasi dapat menggunakan sistem sistem manajemen identitas dan akses (IAM) yang aman seperti Microsoft Entra ID (sebelumnya Azure Active Directory) sebagai pengautentikasi utama identitas, lalu menggunakan OIDC untuk meneruskan autentikasi tersebut ke aplikasi lain. Dengan cara ini, pengguna hanya perlu masuk sekali dengan satu nama pengguna dan kata sandi untuk mengakses beberapa aplikasi.

 

 

Komponen kunci OIDC

Ada enam komponen utama di OIDC:

  • Autentikasi adalah proses memverifikasi bahwa pengguna adalah orang yang diklaimnya.

  • Klien adalah perangkat lunak, seperti situs web atau aplikasi, yang meminta token yang digunakan untuk mengautentikasi pengguna atau mengakses sumber daya.

  • Pihak yang mengandalkan adalah aplikasi yang menggunakan penyedia OpenID untuk mengautentikasi pengguna.  

  • Token identitas berisi data identitas termasuk hasil proses autentikasi, pengidentifikasi untuk pengguna, dan informasi tentang bagaimana dan kapan pengguna diautentikasi. 

  • Penyedia OpenID adalah aplikasi yang akunnya sudah dimiliki pengguna. Peran mereka di OIDC adalah untuk mengautentikasi pengguna dan meneruskan informasi tersebut kepada pihak yang mengandalkan.

  • Pengguna adalah orang atau layanan yang berusaha mengakses aplikasi tanpa membuat akun baru atau memberikan nama pengguna dan kata sandi. 

 

Bagaimana cara kerja autentikasi OIDC?

Autentikasi OIDC berfungsi dengan mengizinkan pengguna masuk ke satu aplikasi dan mendapatkan akses ke aplikasi lain. Misalnya, jika pengguna ingin membuat akun di situs berita, mereka mungkin memiliki opsi untuk menggunakan Facebook untuk membuat akun daripada membuat akun baru. Jika mereka memilih Facebook, mereka menggunakan autentikasi OIDC. Facebook, yang disebut sebagai penyedia OpenID, menangani proses autentikasi dan mendapatkan persetujuan pengguna untuk memberikan informasi tertentu, seperti profil pengguna, ke situs berita, yang merupakan pihak yang mengandalkan. 

Token ID 

Penyedia OpenID menggunakan token ID untuk mengirimkan hasil autentikasi dan informasi terkait apa pun kepada pihak yang mengandalkan. Contoh tipe data yang dikirim mencakup ID, alamat email, dan nama.

Cakupan

Lingkup menentukan apa yang dapat dilakukan pengguna dengan akses mereka. OIDC menyediakan cakupan standar, yang menentukan hal-hal seperti pihak yang mengandalkan token yang dihasilkan, saat token dibuat, kapan token akan kedaluwarsa, dan kekuatan enkripsi yang digunakan untuk mengautentikasi pengguna. 

Proses autentikasi OIDC umum mencakup langkah-langkah berikut:

  1. Pengguna masuk ke aplikasi yang ingin mereka akses (pihak yang mengandalkan).
  2. Jenis pengguna dalam nama pengguna dan kata sandi mereka.
  3. Pihak yang mengandalkan mengirimkan permintaan ke penyedia OpenID.
  4. Penyedia OpenID memvalidasi kredensial pengguna dan mendapatkan otorisasi.
  5. Penyedia OpenID mengirimkan token identitas dan sering kali token akses ke pihak yang mengandalkan.
  6. Pihak yang mengandalkan mengirimkan token akses ke perangkat pengguna’.
  7. Pengguna diberi akses berdasarkan informasi yang diberikan dalam token akses dan pihak yang mengandalkan. 

Apa itu alur OIDC?

Alur OIDC menentukan cara token diminta dan dikirimkan ke pihak yang mengandalkan. Beberapa contoh:

  • Alur otorisasi OIDC: Penyedia OpenID mengirimkan kode unik ke pihak yang mengandalkan. Pihak yang mengandalkan kemudian mengirim kembali kode unik ke penyedia OpenID sebagai ganti token. Metode ini digunakan agar penyedia OpenID dapat memverifikasi pihak yang mengandalkan sebelum mengirim token. Browser tidak dapat melihat token dalam metode ini, yang membantu menjaganya tetap aman.

  • Alur otorisasi OIDC dengan ekstensi PKCE: Alur ini sama dengan alur otorisasi OIDC, kecuali alur ini menggunakan kunci publik untuk ekstensi pertukaran kode (PKCE) untuk mengirim komunikasi sebagai hash. Hal ini akan mengurangi kemungkinan token akan dicegat.

  • Kredensial klien: Alur ini menyediakan akses ke API web menggunakan identitas aplikasi itu sendiri. Biasanya digunakan untuk komunikasi server-ke-server dan skrip otomatis yang tidak memerlukan interaksi pengguna.

  • Kode perangkat: Alur ini memungkinkan pengguna untuk masuk dan mengakses API berbasis web pada perangkat yang terhubung ke internet yang tidak memiliki browser atau memiliki pengalaman keyboard yang buruk, seperti SMART TV. 

Alur tambahan, seperti alur implisit OIDC, yang dirancang untuk aplikasi berbasis browser, tidak disarankan karena merupakan risiko keamanan.

OIDC vs. OAuth 2.0

OIDC dibuat di atas OAuth 2.0 untuk menambahkan autentikasi. Protokol OAuth 2.0 dikembangkan terlebih dahulu lalu OIDC ditambahkan untuk meningkatkan kemampuannya. Perbedaan antara keduanya adalah OAuth 2.0 memberikan otorisasi, sementara OIDC menyediakan autentikasi. OAuth 2.0 adalah hal yang memungkinkan pengguna mendapatkan akses ke pihak yang mengandalkan, menggunakan akun mereka dengan penyedia OpenID, dan OIDC adalah hal yang memungkinkan penyedia OpenID untuk memberikan profil pengguna kepada pihak yang mengandalkan. OIDC juga memungkinkan organisasi untuk menawarkan akses menyeluruh kepada pengguna mereka.

 

 

Manfaat autentikasi OIDC

Dengan mengurangi jumlah akun yang diperlukan pengguna untuk mengakses aplikasi, OIDC menawarkan beberapa manfaat bagi individu dan organisasi:

  • Mengurangi risiko kata sandi yang dicuri

    Ketika orang perlu menggunakan beberapa kata sandi untuk mengakses aplikasi yang mereka butuhkan untuk pekerjaan dan kehidupan pribadi mereka, mereka sering memilih kata sandi yang mudah diingat, seperti Kata Sandi1234!, dan menggunakan kata sandi yang sama di beberapa akun. Hal ini akan meningkatkan risiko aktor jahat menebak kata sandi. Dan setelah mengetahui kata sandi ke satu akun, mereka mungkin juga dapat mengakses akun lain. Dengan mengurangi jumlah kata sandi yang harus diingat oleh seseorang, akan meningkatkan kemungkinan mereka akan menggunakan kata sandi yang lebih kuat dan lebih aman.

  • Meningkatkan kontrol keamanan

    Dengan memusatkan autentikasi dalam satu aplikasi, organisasi juga dapat melindungi akses di beberapa aplikasi dengan kontrol akses yang kuat. Dukungan OIDC dua faktor dan autentikasi multifaktor, yang mengharuskan orang memverifikasi identitas mereka menggunakan setidaknya dua hal berikut:

    • Sesuatu yang diketahui pengguna, biasanya kata sandi.

    • Sesuatu yang mereka miliki, seperti perangkat tepercaya atau token yang tidak mudah diduplikasi. 

    • Ciri khas pengguna, seperti sidik jari atau pemindaian wajah.

    Autentikasi multifaktor adalah metode yang terbukti mengurangi penyusupan akun. Organisasi juga dapat menggunakan OIDC untuk menerapkan langkah keamanan lainnya, seperti manajemen akses istimewa, perlindungan kata sandi, keamanan masuk, atau perlindungan identitas, di beberapa aplikasi. 

  • Menyederhanakan pengalaman pengguna

    Masuk ke beberapa akun sepanjang hari dapat memakan waktu dan membuat orang frustrasi. Selain itu, jika mereka kehilangan atau lupa kata sandi, mengatur ulang kata sandi dapat mengganggu produktivitas lebih lanjut. Bisnis yang menggunakan OIDC untuk memberikan karyawan’ akses menyeluruh membantu memastikan tenaga kerja mereka menghabiskan lebih banyak waktu untuk pekerjaan produktif daripada mencoba mendapatkan akses ke aplikasi. Organisasi juga memperkirakan bahwa pelanggan akan mendaftar dan menggunakan layanan mereka jika mereka mengizinkan individu untuk menggunakan akun Microsoft, Facebook, atau Google mereka untuk masuk. 

  • Menstandarkan autentikasi

    OpenID Foundation yang mencakup merek profil tinggi seperti Microsoft dan Google, OIDC bawaan. Aplikasi ini dirancang agar dapat dioperasikan dan mendukung banyak platform dan perpustakaan, termasuk iOS, Android, Microsoft Windows, serta penyedia cloud dan identitas utama.

  • Menyederhanakan manajemen identitas

    Organisasi yang menggunakan OIDC untuk menyediakan akses menyeluruh bagi karyawan dan mitra mereka dapat mengurangi jumlah solusi manajemen identitas yang perlu dikelola. Hal ini memudahkan Anda melacak perubahan izin dan mengizinkan administrator menggunakan satu antarmuka untuk menerapkan kebijakan akses dan aturan di beberapa aplikasi. Perusahaan yang menggunakan OIDC untuk mengizinkan orang masuk ke aplikasi mereka menggunakan penyedia OpenID mengurangi jumlah identitas yang perlu mereka kelola sama sekali. 

Contoh dan kasus penggunaan OIDC

Banyak organisasi menggunakan OIDC untuk mengaktifkan autentikasi aman di seluruh aplikasi web dan seluler. Berikut beberapa contohnya:

  • Saat pengguna mendaftar akun Spotify, mereka ditawarkan tiga pilihan: Daftar dengan Facebook, Daftar dengan Google, Daftar dengan alamat email Anda. Pengguna yang memilih untuk mendaftar dengan Facebook atau Google menggunakan OIDC untuk membuat akun. Mereka akan dialihkan ke penyedia OpenID mana pun yang mereka pilih (Google atau Facebook) lalu setelah masuk, penyedia OpenID akan mengirimkan detail profil dasar Spotify. Pengguna tidak perlu membuat akun baru untuk Spotify dan kata sandi mereka tetap terlindungi.

  • LinkedIn juga menyediakan cara bagi pengguna untuk membuat akun menggunakan akun Google mereka daripada membuat akun terpisah untuk LinkedIn. 

  • Sebuah perusahaan ingin memberikan akses menyeluruh kepada karyawan yang perlu mengakses Microsoft Office 365, Salesforce, Box, dan Workday untuk melakukan pekerjaan mereka. Daripada mewajibkan karyawan untuk membuat akun terpisah untuk setiap aplikasi tersebut, perusahaan menggunakan OIDC untuk memberikan akses ke keempatnya. Karyawan membuat satu akun dan setiap kali masuk, mereka mendapatkan akses ke semua aplikasi yang diperlukan untuk bekerja.  

Terapkan OIDC untuk autentikasi aman

OIDC menyediakan protokol autentikasi untuk menyederhanakan pengalaman masuk bagi pengguna dan meningkatkan keamanan. Ini adalah solusi hebat bagi bisnis yang ingin mendorong pelanggan untuk mendaftar ke layanan mereka tanpa perlu repot mengelola akun. Hal ini juga memberdayakan organisasi untuk menawarkan karyawan mereka dan pengguna lain mengamankan akses menyeluruh ke beberapa aplikasi. Organisasi dapat menggunakan solusi identitas dan akses yang mendukung OIDC, seperti Microsoft Entra, untuk mengelola semua identitas dan kebijakan keamanan autentikasi mereka di satu tempat.

   

 

Pelajari selengkapnya tentang Microsoft Security

Tanya Jawab Umum

  • OIDC adalah protokol autentikasi identitas yang bekerja dengan OAuth 2.0 untuk menstandardisasi proses autentikasi dan otorisasi pengguna saat mereka masuk untuk mengakses layanan digital. OIDC menyediakan autentikasi, yang berarti memverifikasi bahwa pengguna adalah orang yang mereka katakan. OAuth 2.0 mengotorisasi sistem mana yang diizinkan untuk diakses pengguna tersebut. OIDC dan OAuth 2.0 biasanya digunakan untuk mengaktifkan dua aplikasi yang tidak terkait untuk berbagi informasi tanpa mengorbankan data pengguna. 

  • Baik OIDC maupun Bahasa Markup Pernyataan Keamanan (SAML) adalah protokol autentikasi identitas yang memungkinkan pengguna untuk masuk dengan aman sekali dan mengakses berbagai aplikasi. SAML adalah protokol lama yang telah diadopsi secara luas untuk akses menyeluruh. Ini mengirimkan data menggunakan format XML. OIDC adalah protokol lebih baru yang menggunakan format JSON untuk mengirimkan data pengguna. OIDC semakin populer karena lebih mudah diterapkan daripada SAML dan berfungsi lebih baik dengan aplikasi seluler.

  • OIDC adalah singkatan dari protokol OpenID Connect, yaitu protokol autentikasi identitas yang digunakan untuk mengaktifkan dua aplikasi yang tidak terkait untuk berbagi informasi profil pengguna tanpa mengorbankan kredensial pengguna.

  • OIDC dibuat di atas OAuth 2.0 untuk menambahkan autentikasi. Protokol OAuth 2.0 dikembangkan terlebih dahulu lalu OIDC ditambahkan untuk meningkatkan kemampuannya. Perbedaan antara keduanya adalah OAuth 2.0 memberikan otorisasi, sementara OIDC menyediakan autentikasi. OAuth 2.0 adalah hal yang memungkinkan pengguna mendapatkan akses ke pihak yang mengandalkan, menggunakan akun mereka dengan penyedia OpenID, dan OIDC adalah hal yang memungkinkan penyedia OpenID untuk memberikan profil pengguna kepada pihak yang mengandalkan. Fungsi ini juga memungkinkan organisasi untuk menawarkan akses menyeluruh kepada pengguna mereka. Alur OAuth 2.0 dan OIDC serupa kecuali menggunakan terminologi yang sedikit berbeda. 

    Alur OAuth 2.0 umum memiliki langkah-langkah berikut:

    1. Pengguna membuka aplikasi yang ingin mereka akses (server sumber daya).
    2. Server sumber daya mengalihkan pengguna ke aplikasi tempat mereka memiliki akun (klien).
    3. Pengguna masuk menggunakan kredensial mereka untuk klien.
    4. Klien memvalidasi akses pengguna.
    5. Klien mengirimkan token akses ke server sumber daya.
    6. Server sumber daya memberikan akses pengguna.

    Alur OIDC umum memiliki langkah-langkah berikut:

    1. Pengguna masuk ke aplikasi yang ingin mereka akses (pihak yang mengandalkan).
    2. Jenis pengguna dalam nama pengguna dan kata sandi mereka.
    3. Pihak yang mengandalkan mengirimkan permintaan ke penyedia OpenID.
    4. Penyedia OpenID memvalidasi kredensial pengguna dan mendapatkan otorisasi.
    5. Penyedia OpenID mengirimkan token identitas dan sering kali token akses ke pihak yang mengandalkan.
    6. Pihak yang mengandalkan mengirimkan token akses ke perangkat pengguna’.
    7. Pengguna diberi akses berdasarkan informasi yang diberikan dalam token akses dan pihak yang mengandalkan. 

  • Penyedia OpenID menggunakan token ID untuk mengirimkan hasil autentikasi dan informasi terkait apa pun ke aplikasi pihak yang mengandalkan. Contoh tipe data yang dikirim mencakup ID, alamat email, dan nama.

Ikuti Microsoft 365