助力SSL VPN二次认证校验

背景介绍

阿里云 IDaaS 致力于统一身份认证领域，实现一个账号畅通所有应用的目的，IDaaS 与 SSL VPN 进行对接场景中，利用 IDaaS 的账户体系助力 SSL VPN 进行二次认证功能，提高 SSL VPN 登录过程的安全性。

痛点：

SSL VPN 通过证书进行身份校验，其中面临很大风险：

1. 证书可能多人使用，不需要验证使用人信息就可直接登录 SSL VPN , 内部信息极容易出现泄漏风险；

2. 出现事故，无法追踪使用人员，事后无法追责；

3. 离职人员使用的证书，如果其它人也在使用，则无法及时删除离职人员的权限，出现越权行为；

IDaaS 解决方案：

IDaaS 助力 SSL VPN 认证校验，登录时除了校验用户证书，还需要输入账户和密码进行校验，实现二次认证功能。

• 如果您希望使用IDaaS的账户名和密码进行校验，可以直接在IDaaS的组织及组页面创建账户。

• 如果您希望使用AD的账户名和密码进行校验，在AD维护公司的用户信息，配置流程可以参考 LDAP认证登录。

收益：

1. 一人一账户，登录信息可追踪和审计查询

2. 离职员工权限可及时收回，避免数据泄露风险

在IDaaS维护用户信息

• 参考帮助文档管理员指南-组织机构，对公司组织机构的信息进行维护。

• 参考帮助文档管理员指南-账户，对公司员工账户的生命周期进行管理。

云产品AD认证

1. 以IT管理员账号登录云盾IDaaS管理平台。具体操作请参考 IT管理员指南-登录。

2. 在左侧导航栏中点击 认证 > 认证源 跳转到认证源界面。

3. 创建LDAP认证源，可参考帮助文档 LDAP认证源使用手册

4. 在左侧导航栏中点击 设置 > 安全设置 ，在安全设置页面点击 云产品AD认证 页签

   

5. 选择创建的AD认证源，启用该功能并点击保存设置。