日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 辦公安全平臺 實踐教程 身份接入最佳實踐 通過辦公安全平臺保障LDAP用戶安全訪問

通過辦公安全平臺保障LDAP用戶安全訪問

更新時間:
產品詳情
我的收藏

建立辦公安全平臺SASE(Secure Access Service Edge)與輕型目錄訪問協議(LDAP)的連接,您的企業用戶直接以LDAP賬號登錄辦公安全平臺,方便您在辦公安全平臺管控LDAP用戶的訪問權限,從而保障企業的辦公數據安全。本文介紹如何建立辦公安全平臺與LDAP的連接。

應用場景

辦公安全平臺幫助您管控企業員工的內網訪問權限、互聯網訪問權限,以及保護企業辦公數據,滿足企業對日常辦公安全的需求。當您已經使用LDAP管理企業的用戶信息時,您可以通過辦公安全平臺與LDAP的連接,實現企業用戶直接使用LDAP賬號登錄辦公安全平臺客戶端,無需再維護一套辦公安全平臺的身份管理系統,為您降低用戶信息的維護成本。

假設A企業在Windows AD上創建了公司的組織架構(部門1、部門2)及安全組,其中部門1的用戶為user1、user2(管理員)、user3;部門2的用戶為user4、user5;安全組的用戶為user2、user4。本文以同步LDAP上安全組的組織信息到SASE為例,為您介紹如何建立SASE與LDAP的連接。

假設安全組的Base DN:CN=Organizational-Unit,CN=Schema,CN=Configuration,DC=sasetest,DC=com;管理員user2的Base DN:CN=Person,CN=Schema,CN=Configuration,DC=sasetest,DC=com,其密碼為123456****。

本教程中配置屬性的字段屬性均為LDAP默認值,如果您有更改過字段屬性,請以實際字段屬性為準。

前提條件

  • 已開通辦公安全平臺,并已安裝辦公安全平臺客戶端。具體操作,請參見申請免費試用設置。

  • 已使用LDAP管理公司的組織架構及安全組,且具有LDAP管理員賬號。

操作流程

image
說明

本教程以您已使用LDAP管理企業的組織信息為前提條件,所以流程圖中關于LDAP的信息需要您提前完成,本教程不做詳細介紹。

步驟一:建立SASE與LDAP數據的連接

建立辦公安全平臺與LDAP數據的連接,將LDAP上安全組的組織信息同步到辦公安全平臺。

  1. 登錄辦公安全平臺控制臺。在左側導航欄,選擇身份認證管理 > 身份接入。

  2. 身份源管理頁簽,單擊添加身份源

  3. 添加身份源面板,設置認證類型單身份源、身份源LDAP,按照如下步驟操作。

    1. 參考如下表格的參數說明設置LDAP的基本信息,然后單擊下一步

      配置項

      說明

      示例值

      身份源配置狀態

      請根據需要設置配置狀態。取值:

      • 已啟用:如果您當前沒有啟用的身份源,您可以直接開啟創建的身份源。如果您當前存在已啟用的身份源,您需要在身份證管理頁面先禁用其他身份源,然后再開啟您新創建的身份源。

      • 已禁用:您可以先禁用新創建的身份源,稍后啟用。

      已啟用

      類型選擇

      支持選擇的目錄類型。取值:

      • Windows AD:Windows的目錄服務。

      • OpenLDAP:輕型目錄訪問協議。

      Windows AD

      配置名稱

      AD或者LDAP的名稱。

      長度為2~100個字符,支持輸入漢字與字母、數字、短劃線(-)和下劃線(_)。

      test_001

      描述

      該配置的描述信息。

      該描述會作為登錄標題顯示在辦公安全平臺客戶端界面,方便您登錄時知曉身份源信息。

      LDAP登錄

      服務器地址

      AD或者LDAP服務器地址。

      10.10.XX.XX

      服務器端口號

      AD或者LDAP服務器的端口號。

      389

      說明

      如果您無法確定服務器的實際端口號,請聯系管理員。

      使用SSL連接方式

      AD或者LDAP服務器是否開啟SSL連接。取值:

      • :開啟SSL連接后,您在AD或者LDAP服務器上的數據會進行加密傳輸,保證您的數據安全。

      • :表示不開啟SSL連接。

      Base DN

      要認證用戶的Base DN。當您設置該值后,辦公安全平臺會認證該節點下所有賬戶的信息。被認證的賬戶信息可以登錄辦公安全平臺客戶端。該字段的長度為2~100個字符。

      重要

      如果要認證用戶與組不在LDAP的同一節點下,那您需要設置高級配置中的用戶Base DN組Base DN。

      CN=Organizational-Unit,CN=Schema

      部門結構同步

      輸入管理員DN和管理員密碼,從身份源獲取企業目錄結構列表。

      重要

      配置后您可以按照企業目錄結構列表批量下發安全策略。在下發安全策略時,系統不會讀取您的員工信息。

      • 管理員user1的DN:CN=user1,OU=安全組,DC=sasetest,DC=com

      • 管理員密碼:123456****

    2. 設置屬性配置,然后單擊下一步

      設置屬性字段及過濾器,以便您后續管控不同分組下企業用戶的訪問權限。

      配置項

      說明

      示例值

      登錄用戶名屬性

      設置登錄名用戶屬性字段,用于統一同一企業用戶登錄時用戶名的形式,您需要在企業內部定義該字段。

      您可以選擇LDAP默認的表示用戶名屬性的字段(包含cn、namegivenName、displayNameuserPrincipalName、sAMAccountName),也可以輸入LDAP定義的其他字段,用來表示登錄用戶名屬性。

      重要

      userPrincipalName是有域后綴,當您選擇userPrincipalName作為登錄用戶名屬性時,登錄時一定要填寫對應的域后綴。例如:user***@aliyundoc.com。

      cn

      展示用戶名屬性

      設置展示用戶名屬性字段,用于統一同一企業用戶在終端設備上展示的用戶名形式,您需要在企業內部定義該字段。展示用戶名即賬戶名稱。

      您可以選擇LDAP默認的表示用戶名屬性的字段(包含cn、namegivenNamedisplayNameuserPrincipalName、sAMAccountName)),也可以輸入LDAP定義的其他字段,用來表示展示用戶名屬性。

      cn

      組名稱屬性

      設置組名稱屬性字段,用于統一同一企業中組名稱的形式,您需要在企業內部統一定義該字段。

      您可以選擇LDAP默認的表示用戶名屬性的字段(包含cnname、sAMAccountName),也可以輸入LDAP定義的其他字段,用來表示組名稱屬性。

      cn

      組映射屬性

      設置組映射屬性字段,用于定義企業用戶所歸屬的組關系。默認值:memberOf。

      重要

      該字段非必選,如果您填寫時,請與您在LDAP中設置的組映射屬性一致。

      memberOf

      組過濾器

      添加組過濾表達式,用于過濾不同分組的企業用戶,以便您后續管控不同分組下企業用戶的訪問權限。

      LDAP常見的過濾器表示方式舉例:

      • (&(objectClass=organizationalUnit)(objectClass=organization)):表示搜索objectClass等于organizationalUnit和objectClass等于organization,即兩個屬性都滿足的所有組。

      • (|(objectClass=organizationalUnit)(objectClass=organization)):表示搜索objectClass等于organizationalUnit或object等于organization,即兩個屬性滿足其中一個的組。

      • (!(objectClass=organizationalUnit)):表示搜索objectClass不等于organizationalUnit的組。

      關于LDAP的具體匹配規則,請參見LDAP官方文檔LDAP Filters

      (objectClass=organizationalUnit)

      用戶過濾器

      您可以添加過濾表達式,用于過濾某一個或者某一類用戶。

      LDAP常見的過濾器表示方式舉例:

      • (&(objectClass=person)(objectClass=user)) :表示搜索objectClass等于person和objectClass等于user,即兩個屬性都滿足的所有企業用戶。

      • (|(objectClass=person)(objectClass=user)) :表示搜索objectClass等于person或object等于user,即兩個屬性滿足其中一個的所有企業用戶。

      • (!(objectClass=person)):表示搜索objectClass不等于person的所有企業用戶。

      關于LDAP的具體匹配規則,請參見LDAP官方文檔LDAP Filters

      (objectClass=person)

      郵箱屬性

      設置表示郵箱的字段。

      重要

      LDAP中默認的標識郵箱的字段為email,填寫時需要與您在LDAP中設置的郵箱屬性字段一致。

      email

      手機號屬性

      設置標識手機號的字段。

      重要

      LDAP中默認的標識手機號的字段為telephoneNumber,填寫時需要與您在LDAP中設置的手機號屬性字段一致。

      telephoneNumber

    3. 配置登錄方式和認證方式。

      配置項

      說明

      示例值

      電腦設備登錄方式

      • 賬號密碼登錄

      • 無密碼登錄

      賬號密碼登錄

      雙因素認證

      • 驗證碼認證:開啟短信驗證碼驗證,需確保配置的IdP中每個用戶都已錄入手機號。

      • OTP認證:開啟OTP驗證碼驗證,需確保OTP客戶端時鐘同步正常。

        目前支持Google Authenticator、Microsoft Authenticator、阿里云App等常見OTP客戶端。

      短信認證

      如果提示測試失敗,請檢查服務器地址和服務器端口等信息是否填寫錯誤。

  4. 單擊確認。

    為了保障您配置的數據正確,您可以單擊登錄測試驗證數據。

    說明

    如果您配置的數據有誤,SASE會提示您對應的問題。當測試連接后,提示連接LDAP服務器失敗,請聯系管理員,您需要排查服務器地址、端口號是否填寫正確,以及服務器網絡是否正常。

    當創建完成后,您需要在用戶組管理頁面的添加用戶組對話框,查看IdP屬性的組織架構是否同步了您的LDAP組織信息。

    一般同步數據需要30秒,如果30秒后,您的數據還未同步過來,請手動刷新用戶組管理頁面。

步驟二:查看連接是否建立成功

以上配置完成后,請按照以下步驟查看配置的連接是否建立成功。

  1. 打開您下載的辦公安全平臺客戶端。

  2. 歡迎登錄云安全訪問服務頁面,輸入企業認證標識,然后單擊確定

    您可以在辦公安全平臺設置中獲取企業認證標識。

  3. 可選:在短信認證頁面,輸入您收到的認證碼。

    如果您沒有設置短信認證,則不會顯示該頁面。

  4. 使用認證用戶user1及其密碼登錄。

    認證狀態顯示認證成功,表示連接已經建立成功。