基于IDaaS的远程办公解决方案

解决方案概述

架构说明：使用 IDaaS 提供身份认证以及权限管理，SPG(*)提供基于身份校验以及应用代理等能力，使员工在家也能安全连上内网应用。

优点：

• 本方案以身份为核心，采用多因子强认证方式建立可信通道，分组授权，最小化暴露面，解决远程办公过程中身份冒用和业务安全的问题。
• 无论客户业务部署在阿里云、友商云，还是IDC都适用。
• 可结合钉钉使用，实现从钉钉一键访问内网应用。

  更多场景方案，请详询阿里售前专员或客服

一、环境准备

1. 购买 IDaaS 产品
2. 将您需要远程办公的人员导入 IDaaS，账户迁移支持AD/LDAP导入和Excel导入
3. 部署 SPG，需要您提目标虚拟机或者物理机，目标机需要能被用户访问到同时可联通到内网应用，然后联系售前专员进行SPG产品部署。

二、在IDaaS中创建应用

操作步骤

1. 以IT管理员账号登录云盾IDaaS管理平台。具体操作请参考 IT管理员指南-登录。
2. 在左侧导航栏，点击应用 > 添加应用。选择JWT应用模板点击添加应用。

   

3. 根据页面提示，在添加应用配置对话框完成添加配置
   说明 应用系统可参考开发指南-SSO插件式SSO，进行内网应用的单点登录改造。应用如果不进行改造也不影响整体方案，但是跳转到应用后用户还需要输入在应用里的密码。

   

   说明 redirect_uri为经过SPG反向代理后的内网应用的登录地址。操作步骤参考二、SPG反向代理应用系统
4. 应用添加完成后。使用普通用户账号登录云盾IDaaS控制台。具体操作请参考普通用户指南-登录。
5. 在主导航 > 首页，点击应用图标，访问内网应用。

   

   通过以上步骤即可实现用户通过IDaaS访问SPG反向代理后的内网OA系统。

   说明 用户内网OA系统的地址为http://xxx.xxx.com/jwtdemo， SPG反向代理后的地址为https://spg.idsmanager.com:8041/jwtdemo
   

三、SPG反向代理应用系统

操作步骤

1. 管理员登录SPG，点击服务管理 > 服务列表

   

2. 点击添加服务，输入后端服务器的信息

   

3. 点击系统管理 > SPG服务器管理，添加服务器配置

   

4. 点击应用管理 > 应用列表，添加WEB服务器的反向代理
   1. 点击添加应用，选择WEB代理

      

   2. 配置代理信息,如图

      

      

   3. 点击确认提交，点击右上角重新加载服务

      

通过以上步骤即可实现将内网应用反向代理到外网

四、ID_Token保护代理后的内网应用

操作步骤

1. 以IT管理员账号登录云盾IDaaS管理平台。具体操作请参考 IT管理员指南-登录。
2. 在左侧导航栏，点击应用 > 应用列表。选择应用点击详情，获取应用的SP发起地址。

   

3. 点击查看详情，获取应用公钥

   

   

4. 管理员登录SPG，选择代理后的应用，点击编辑

   

5. 修改认证方式为Single HTTPS + ID_Token，并配置SP SSO URL和公钥配置
   说明 SP SSO URL即为步骤2中获取的SP发起地址；公钥配置为步骤3中的JWT PublicKey。

   

   

6. 点击确认，再次点击右上角重新加载服务