本文以辦公安全平臺 SASE(Secure Access Service Edge)單點登錄應用身份服務 IDaaS(Identity as a Service)應用門戶為例,介紹如何端到端地配置SASE單點登錄IDaaS集成的業務應用。
辦公安全平臺通過采用OpenID Connect (OIDC)協議,作為與阿里云IDaaS解決方案之間的橋梁,實現了單點登錄(SSO)功能的互聯互通。只要企業現有的SSO服務支持OIDC標準,就能夠將辦公安全平臺的賬號體系作為身份提供商(IdP),無縫集成到其SSO框架。
場景示例
當前某企業使用IDaaS進行員工身份和應用權限管理,且使用IDaaS完成了內部應用的SSO接入。同時企業接入了SASE服務,保障遠程辦公接入和辦公敏感數據的安全。此時可使用SASE的SSO功能,通過OIDC協議與IDaaS服務打通。以實現企業員工登錄SASE App后,能夠直接在IDaaS的應用門戶使用SASE App身份直接登錄內網應用。
前提條件
已購買SASE服務。具體操作,請參見購買服務。
已登錄SASE App。具體操作,請參見安裝并登錄SASE App。
已開通IDaaS服務并創建EIAM云身份服務新版實例。具體操作,請參見免費開通實例。
已在IDaaS服務集成企業所需的業務應用。具體操作,請參見應用開通說明。
操作流程
步驟一:獲取IDaaS授權回調地址
登錄IDaaS管理控制臺。
在EIAM云身份服務頁面,單擊已創建的實例名稱。跳轉到該實例的云身份服務控制臺。
在左側導航欄,單擊身份提供方。
在身份提供方頁面,單擊其他身份提供方。
在新增身份提供方面板,單擊OIDC身份提供方。
在綁定OIDC身份提供方面板,復制IDaaS授權回調Redirect URI。
建議您不要關閉該頁面,步驟三也需要在該頁面完成配置。
步驟二:配置SASE SSO策略
登錄辦公安全平臺控制臺。
在左側導航欄,選擇。
在單點登錄頁面,單擊添加策略。
在添加策略面板,根據下表配置策略信息。
配置項
說明
示例值
策略名稱
策略的名稱。
SASE_SSO_test
策略狀態
策略的啟用狀態
置為啟用狀態
接口訪問授權
設置client_id、client_secret。使用單點登錄前需啟用接口訪問,您需要使用client_id、client_secret進行接口授權。
重要請保管好client_secret,一旦懷疑泄露,請刪除舊密鑰并添加新密鑰進行輪轉。
client_id:sase_sso
client_secret:1kr6ld066******
登錄Redirect URL
填寫企業內網應用的URL的redirect_uri參數,目的是將該值加白,方便SASE在認證完成后發起登錄請求。
該值即步驟一獲取的授權回調Redirect URI。
https://l6v271cn.aliyunidaas.com/login/********
單擊確定。
步驟三:為IDaaS實例綁定SASE身份源
在綁定OIDC身份提供方面板,參考下表設置綁定信息。
如果您已經關閉了IDaaS的頁面,請參考步驟一的界面入口進入綁定OIDC身份提供方面板。
關于IDaaS產品綁定OIDC身份提供方字段的詳細信息,請參見綁定OIDC身份提供方。
配置項
示例值
登錄信息
顯示名稱
SASE
登錄配置
認證模式
client_secret_post
Client ID
sase_sso
Client Secret
client_secret:1kr6ld066******
Scopes
openid,external_id
端點配置
Issuer
填寫Issuer值后,可以通過解析發現端點,自動獲取端點信息。
授權端點
令牌端點
公鑰端點
用戶信息端點
單擊下一步選擇場景。
為了方便本次驗證,場景選擇默認配置。如果需要了解場景的具體說明,請參見選擇場景。
單擊完成創建。
步驟四:使用SASE SSO訪問IDaaS集成的應用
在EIAM云身份服務頁面,定位到指定的IDaaS實例,單擊用戶門戶地址。
在用戶門戶登錄頁,您可以看到其他登錄方式下出現SASE身份源。
單擊SASE身份源,登錄IDaaS門戶。
在我的應用頁面,即可訪問當前集成在IDaaS的業務應用,無需您再次輸入賬戶名和密碼。