建立辦公安全平臺SASE(Secure Access Service Edge)與應用身份服務IDaaS(Alibaba Cloud IDentity as a Service)的連接,使您的企業用戶直接以應用身份服務賬號登錄辦公安全平臺,方便您在辦公安全平臺管控企業用戶的訪問權限,從而保障企業的辦公數據安全。本文介紹如何建立辦公安全平臺與應用身份服務的連接。
應用場景
SASE幫助您管控企業員工的內網訪問權限、互聯網訪問權限,以及保護企業辦公數據,滿足企業對日常辦公安全的需求。當您已經使用IDaaS管理企業的部門結構及用戶信息,此時,您可以通過SASE與IDaaS連接,實現企業用戶直接使用IDaaS賬號登錄SASE客戶端,無需再維護一套SASE身份管理系統,為您降低用戶信息的維護成本。
前提條件
已開通SASE服務并安裝SASE客戶端。具體操作,請參見辦公安全平臺計費概述。
已開通IDaaS服務并創建EIAM云身份服務新版實例。具體操作,請參見免費開通實例。
已為EIAM云身份服務新版實例添加阿里云SASE應用。具體操作,請參見創建應用。
創建阿里云SASE應用時,IDaaS默認啟用單點登錄,應用賬戶為IDaaS賬戶名、授權范圍為手動授權,自動生成SAML元配置文件。您也可以根據實際業務進行修改。
如果您需要SASE獲取創建在IDaaS上的企業部門結構列表,以便按照部門結構批量下發安全策略,需要在應用身份管理控制臺上配置阿里云SASE應用的通用配置、賬戶同步和API開放信息。具體操作,請參見基本配置、賬戶同步-事件回調、應用 API 開放。
配置API開放信息時,您需要開通查詢賬戶信息和查詢組織信息權限,否則SASE無法獲取您的企業部門結構列表。
說明在辦公安全平臺控制臺添加IDaaS身份源面板獲取同步接收地址用于您配置賬戶同步信息。
前提條件配置完成后,您需要保存如下信息:
SAML元配置文件:創建阿里云SASE應用(單點登錄頁簽)時IDaaS為您自動生成的。
實例ID:創建的EIAM云身份服務新版實例ID。
應用ID:為EIAM云身份服務新版實例添加的阿里云SASE應用ID。
client_id(接口鑒權ID):創建阿里云SASE應用(通用配置頁簽)時IDaaS為您自動生成的。
client_secret(接口鑒權密鑰):創建阿里云SASE應用(通用配置頁簽)時IDaaS為您自動生成的。
驗簽公鑰端點鏈接:創建阿里云SASE應用(賬戶同步頁簽)時IDaaS為您自動生成的。
加解密鑰:創建阿里云SASE應用(賬戶同步頁簽)時IDaaS為您自動生成的。
步驟一:建立SASE與IDaaS的連接
創建IDaaS身份源,建立SASE與IDaaS的連接。
登錄辦公安全平臺控制臺。在左側導航欄,選擇。
在身份源管理頁簽,單擊添加身份源。
在添加身份源面板,設置認證類型為單身份源、企業身份源為IDaaS,在新版頁簽下設置如下參數。然后單擊確定。
配置項
說明
示例值
配置名稱
IDaaS身份源配置的名稱。
長度為2~100個字符,中文字符、英文字母、阿拉伯數字、短劃線(-)和下劃線(_)。
IDaaS_test
描述
該配置的描述信息。
該描述會作為登錄標題顯示在SASE 客戶端界面,方便您登錄時知曉身份源信息。
IDaaS身份源登錄
SAML元配置文件
上傳SAML元配置文件。
無
授權讀取部門結構
根據需要授權讀取部門結構的權限。取值:
是:請輸入IDaaS的阿里云SASE應用相關信息,用以獲取企業目錄結構列表,需要設置如下字段:
實例ID
應用ID
client_id
client_secret
驗簽公鑰端點鏈接
加解密鑰
說明配置后您可以按照目錄列表批量下發安全策略。在下發安全策略時,系統不會讀取您的員工信息。
否:表示不授權讀取部門結構。
授權讀取部門結構:是
實例ID:idaas_gzcsi7qu2pyhxqjtibzmeh****
應用ID:app_mkhn54lnexe6hitkzl7a2m****
client_id:app_mkhn54lnexe6hitkzl7a2m****
client_secret:CSCb****************************************qk
驗簽公鑰端點鏈接:https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ulr2tayafld4gkx7tcdx6cv6mi/app_msl63usakau653bj2r5qvafadq/provisioning/****
加解密鑰:0797d3ec35c49472ca4d7ccc8ef0375948cf123e9cd6882333a2a0778773****
身份源配置狀態
根據需要設置配置狀態。取值:
已啟用:如果當前沒有啟用其他身份源,您可以直接開啟創建的身份源。
已禁用:如果當前存在已啟用其他身份源,您可以將創建的身份源設置為禁用狀態。待您在身份源管理頁面將其他身份源設置為禁用狀態后,再開啟新創建的身份源。
重要關閉身份源配置狀態開關,會導致終端用戶使用SASE客戶端無法訪問內網應用。請謹慎操作。
已啟用
步驟二:查看連接是否建立成功
打開您已下載的SASE客戶端。
在登錄SASE客戶端頁面,輸入企業認證標識,然后單擊確定。
您可以在SASE的設置頁面,獲取企業認證標識。具體操作,請參見設置。
在彈出的IDaaS登錄界面,輸入IDaaS的用戶賬號和密碼,單擊登錄。
登錄成功后,單擊連接內網,當內網訪問已安全連接,表示您已成功建立SASE與IDaaS的連接。
