配置身份源

背景信息

SASE以身份驱动下发安全策略，所以在使用SASE之前，您需要完成与企业的身份管理服务对接。完成身份账号系统对接后，管理员可以按照企业组织架构下发安全管控策略。企业用户可使用与企业身份一致的账号体系登录SASE客户端办公。

通过添加身份源配置，您可以将企业内部身份信息导入到SASE，便于后续设置相关策略。

使用限制

身份源功能仅支持在同一时段开启一个身份源（一个单身份源或者一个多身份源）。如果当前存在已启用的身份源，您需要先禁用已启用的身份源，然后再启用您需要的身份源。

配置LDAP单身份源

1. 登录办公安全平台控制台，在左侧导航栏，选择身份管理 > 身份源管理。

2. 单击添加身份源，在单身份源的LDAP页签，设置LDAP身份源的服务配置。然后单击下一步。

   配置项	说明
   身份源配置状态	根据需要启用或者禁用身份源。取值： 已启用：如果当前没有启用其他身份源，您可以直接开启创建的身份源。 已禁用：如果当前存在已启用其他身份源，您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后，再开启新创建的身份源。 重要 关闭身份源配置状态开关，会导致终端用户使用SASE客户端无法访问内网应用。请谨慎操作。
   类型选择	支持的目录类型。取值： Windows AD：Windows的目录服务。 OpenLDAP：轻型目录访问协议。
   配置名称	AD或者LDAP的名称信息，用户自定义。 长度为2~100个字符，中文字符、英文字母、阿拉伯数字、短划线（-）和下划线（_）。
   描述	该配置的描述信息。 该描述会作为登录标题显示在SASE客户端，方便您登录时知晓身份源信息。
   服务器地址	AD或者LDAP服务器地址。
   服务器端口号	AD或者LDAP服务器的端口号。
   使用SSL连接方式	AD或者LDAP服务器是否开启SSL连接。取值： 是：开启SSL连接后，您在AD或者LDAP服务器上的数据会进行加密传输，保证您的数据安全。 否：表示不开启SSL连接。
   Base DN	要认证用户的Base DN。当您设置该值后，SASE会认证该节点下所有账户的信息。被认证的账户信息可以登录SASE客户端。该字段的长度为2~100个字符。 说明 如果要认证用户与组不在LDAP的同一节点下，那您需要设置高级配置中的用户Base DN和组Base DN。
   部门结构同步	输入管理员DN和管理员密码，用于从身份源中获取企业目录结构列表。 说明 配置后您可以按照企业目录结构列表批量下发安全策略。在下发安全策略时，系统不会读取您的员工信息。

3. 设置属性配置，然后单击下一步。

   设置属性字段及过滤器，以便您后续管控不同分组下企业用户的访问权限。

   配置项	说明
   登录用户名属性	设置登录用户名属性字段，用于统一同一企业用户登录时用户名的形式，您需要在企业内部定义该字段。 您可以选择LDAP默认的表示用户名属性的字段（包含cn、name、givenName、displayName、userPrincipalName、sAMAccountName），也可以输入LDAP定义的其他字段，用来表示登录用户名属性。 说明 userPrincipalName是有域后缀，当您选择userPrincipalName作为登录用户名属性时，登录时一定要填写对应的域后缀。例如：user***@aliyundoc.com。
   展示用户名属性	设置展示用户名属性字段，用于统一同一企业用户在终端设备上展示的用户名形式，您需要在企业内部定义该字段。展示用户名即账户名称。 您可以选择LDAP默认的表示用户名属性的字段（包含cn、name、givenName、displayName、userPrincipalName、sAMAccountName），也可以输入LDAP定义的其他字段，用来表示展示用户名属性。
   组名称属性	设置组名称属性字段，用于统一同一企业中组名称的形式，您需要在企业内部统一定义该字段。 您可以选择LDAP默认的表示用户名属性的字段（包含cn、name、sAMAccountName），也可以输入LDAP定义的其他字段，用来表示组名称属性。
   组映射属性	设置组映射属性字段，用于定义企业用户所归属的组关系。默认值：memberOf。 说明 该字段非必选，如需填写，需与您在LDAP中设置的组映射属性一致。
   组过滤器	添加组过滤表达式，用于过滤不同分组的企业用户，以便您后续管控不同分组下企业用户的访问权限。 LDAP常见的过滤器表示方式举例： (&(objectClass=organizationalUnit)(objectClass=organization))：表示搜索objectClass等于organizationalUnit和objectClass等于organization，即两个属性都满足的所有组。 (|(objectClass=organizationalUnit)(objectClass=organization))：表示搜索objectClass等于organizationalUnit或object等于organization，即两个属性满足其中一个的组。 (!(objectClass=organizationalUnit))：表示搜索objectClass不等于organizationalUnit的组。 关于LDAP的具体匹配规则，请参见LDAP官方文档LDAP Filters。
   用户过滤器	您可以添加过滤表达式，用于过滤某一个或者某一类用户。 LDAP常见的过滤器表示方式举例： (&(objectClass=person)(objectClass=user)) ：表示搜索objectClass等于person和objectClass等于user，即两个属性都满足的所有企业用户。 (|(objectClass=person)(objectClass=user)) ：表示搜索objectClass等于person或object等于user，即两个属性满足其中一个的所有企业用户。 (!(objectClass=person))：表示搜索objectClass不等于person的所有企业用户。 关于LDAP的具体匹配规则，请参见LDAP官方文档LDAP Filters。
   邮箱属性	设置表示邮箱的字段。 重要 LDAP中默认的标识邮箱的字段为email，填写时需要与您在LDAP中设置的邮箱属性字段一致。
   手机号属性	设置标识手机号的字段。 重要 LDAP中默认的标识手机号的字段为telephoneNumber，填写时需要与您在LDAP中设置的手机号属性字段一致。

4. 设置双因素认证，然后单击登录测试。

   配置项	说明
   电脑设备登录方式	支持账号密码登录和无密码登录。 使用账号密码登录方式时，您可以开启双因素认证，取值： OTP认证：开启OTP验证后，您还要选择OTP令牌模式，目前支持如下三种模式： 允许SASE移动端展示令牌：即SASE自带OTP，需要员工安装SASE移动端客户端。 允许第三方App令牌：需确保OTP客户端时钟同步正常，目前支持标准及常见的OTP认证软件，例如阿里云App等。 允许企业自有令牌：若需兼容企业自研OTP，请在技术人员支持下进行配置。 验证码认证：开启短信验证码验证，需确保配置的身份源中每个用户都已录入手机号。 使用无密码登录方式时，需要先下载并登录SASE移动端App，然后进行扫码认证。
   移动设备登录方式	支持账号密码登录和指纹或人脸识别认证。 使用账号密码登录方式时，您可以开启双因素认证，取值： OTP认证：开启OTP验证码验证前，需开启PC端OTP认证并选择允许第三方App绑定或者允许企业自有令牌，移动端令牌配置与电脑设备配置一致。 验证码认证：开启验证码验证，需确保配置的身份源中每个用户都已录入手机号或邮箱。 使用指纹或人脸识别认证方式时，首次登录SASE客户端时仍需要输入账号名与密码。

   说明

   如果您配置的数据有误，SASE会提示您对应的问题。当测试连接后，提示连接LDAP服务器失败，请联系管理员，您需要排查服务器地址、端口号是否填写正确，以及服务器网络是否正常。

5. 测试成功后，单击确认。

配置钉钉单身份源

1. 登录办公安全平台控制台，在左侧导航栏，选择身份管理 > 身份源管理。

2. 单击添加身份源，在单身份源的钉钉页签，设置钉钉身份源，然后单击连接测试。

   配置项	说明
   配置名称	钉钉的名称信息。 长度为2~100个字符，中文字符、英文字母、阿拉伯数字、短划线（-）和下划线（_）。
   描述	该配置的描述信息。 该描述会作为登录标题显示在SASE客户端，方便您登录时知晓身份源信息。
   钉钉配置	CorpId：企业在钉钉中的标识，每个企业拥有唯一的CorpId。 从钉钉开放平台上首页获取CorpID。 AppKey：钉钉开放平台中创建应用的AppKey。 从钉钉开放平台上目标应用的基础信息页面获取AppKey。 AppSecret：钉钉开放平台中创建应用的AppKey。 从钉钉开放平台上目标应用的基础信息页面获取AppSecret。
   组织架构同步	全部部门 部分部门：如果选择部分部门，需要设置部门的ID。支持添加多个部门。
   事件订阅	配置事件订阅后，企业员工的组织架构会同步至SASE，实现企业员工的组织架构调整或离职场景下SASE安全策略的时效性。 加密aes_key 从钉钉开放平台上目标应用的事件与订阅页面获取加密aes_key。 加密token 从钉钉开放平台上目标应用的事件与订阅页面获取加密token。 请求网址：该值用于在钉钉开放平台设置订阅管理。 订阅的事件：通讯录用户增加、通讯录用户更改、通讯录用户离职、通讯录企业部门创建、通讯录企业部门修改、通讯录企业部门删除。
   应用首页地址	固定值：https://login.aliyuncsas.com/ui/dingAuth/。 该值用于在钉钉开放平台设置应用首页地址。
   回调域名	固定值：https://login.aliyuncsas.com/open-dev/dingtalk。 该值用于在钉钉开放平台设置回调域名。
   身份源配置状态	根据需要设置配置状态。取值： 已启用：如果当前没有启用其他身份源，您可以直接开启创建的身份源。 已禁用：如果当前存在已启用其他身份源，您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后，再开启新创建的身份源。 重要 关闭身份源配置状态开关，会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。

   说明

   如果提示连接失败，请检查服务器地址和服务器端口等信息是否填写错误。

3. 连接成功后，单击确定。

配置企业微信单身份源

1. 登录办公安全平台控制台，在左侧导航栏，选择身份管理 > 身份源管理。

2. 单击添加身份源，在单身份源的企业微信页签，参考下表创建企业微信身份源。

   配置项	说明
   配置名称	企业微信身份源的名称信息。 长度为2~100个字符，中文字符、英文字母、阿拉伯数字、短划线（-）和下划线（_）。
   描述	该配置的描述信息。 该描述会作为登录标题显示在SASE客户端，方便您登录时知晓身份源信息。
   身份源配置状态	根据需要设置配置状态。取值： 已启用：如果当前没有启用其他身份源，您可以直接开启创建的身份源。 已禁用：如果当前存在已启用其他身份源，您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后，再开启新创建的身份源。 重要 关闭身份源配置状态开关，会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。

3. 单击获取二维码授权，使用企业微信（管理员账号）扫码授权。

4. 授权成功后，单击去列表查看。

5. 在单身份源的企业微信页签，配置Schema值。再单击确定。

   需要联系办公安全平台技术支持获取Schema值。

配置飞书单身份源

1. 登录办公安全平台控制台，在左侧导航栏，选择身份管理 > 身份源管理。

2. 单击添加身份源，在单身份源的飞书页签，参考下表设置飞书身份源。然后单击连接测试。

   配置项	说明
   配置名称	飞书身份源的名称信息。 长度为2~100个字符，中文字符、英文字母、阿拉伯数字、短划线（-）和下划线（_）。
   描述	该配置的描述信息。 该描述会作为登录标题显示在SASE客户端，方便您登录时知晓身份源信息。
   App ID	飞书平台自建应用的应用ID。
   App Secret	飞书平台自建应用的密码。
   事件订阅	配置事件订阅后，企业员工的组织架构会同步至SASE，实现企业员工的组织架构调整或离职场景下SASE安全策略的时效性。 Encrypt Key 该值从飞书开放平台通讯录同步页面获取。 Verification Token 该值从飞书开放平台上目标应用的通讯录同步页面获取。 请求网址URL：该值用于在飞书开放平台配置重定向URL。 订阅的事件：部门新建、部门被删除、部门信息变化、员工离职、员工信息变化。
   重定向URL	固定值：https://login.aliyuncsas.com/open-dev/feishu。 该值用于在飞书开放平台配置重定向URL。
   身份源配置状态	根据需要设置配置状态。取值： 已启用：如果您当前没有启用的身份源，您可以直接开启创建的身份源。如果您当前存在已启用的身份源，您需要在身份证管理页面先禁用其他身份源，然后再开启您新创建的身份源。 已禁用：您可以先禁用新创建的身份源，稍后启用。

   说明

   如果提示连接失败，请检查相关信息是否填写错误。

3. 连接成功后，单击确定。

配置IDaaS单身份源

1. 登录办公安全平台控制台，在左侧导航栏，选择身份管理 > 身份源管理。

2. 单击添加身份源，在单身份源的IDaaS页签，根据您使用的IDaaS版本设置IDaaS身份源。然后单击确定。

   IDaaS旧版身份源配置项参考表

   配置项	说明
   配置名称	IDaaS配置的名称。 长度为2~100个字符，中文字符、英文字母、阿拉伯数字、短划线（-）和下划线（_）。
   描述	该配置的描述信息。 该描述会作为登录标题显示在SASE客户端，方便您登录时知晓身份源信息。
   SAML元配置文件	上传SAML元配置文件。该文件在创建应用详情（SAML）时IDaaS为您自动生成的。
   授权读取部门结构	根据需要授权读取部门结构的权限。取值： 是：请输入IDaaS的API相关信息，用以获取企业目录结构列表，需要设置API Key和API Secret。 说明 配置后您可以按照目录列表批量下发安全策略。在下发安全策略时，系统不会读取您的员工信息。 否：表示不授权读取部门结构。
   SP Entity ID	业务系统实体ID。固定值：https://saml-csas.aliyuncs.com/saml/metadata。
   SP ACS URL	业务系统接收SAML请求的地址。固定值：https://saml-csas.aliyuncs.com/saml/acs。
   身份源配置状态	根据需要设置配置状态。取值： 已启用：如果当前没有启用其他身份源，您可以直接开启创建的身份源。 已禁用：如果当前存在已启用其他身份源，您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后，再开启新创建的身份源。 重要 关闭身份源配置状态开关，会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。
   属性配置	固定值。

   IDaaS新版身份源配置项参考表

   配置项	说明
   配置名称	IDaaS身份源配置的名称。 长度为2~100个字符，中文字符、英文字母、阿拉伯数字、短划线（-）和下划线（_）。
   描述	该配置的描述信息。 该描述会作为登录标题显示在SASE 客户端，方便您登录时知晓身份源信息。
   SAML元配置文件	上传SAML元配置文件。该文件在创建阿里云SASE应用（单点登录页签）时IDaaS为您自动生成的。
   授权读取部门结构	根据需要授权读取部门结构的权限。取值： 是：请输入IDaaS的API相关信息，用以获取企业目录结构列表，需要设置如下字段： 实例ID：创建的EIAM云身份服务新版实例ID。 应用ID：为EIAM云身份服务新版实例添加的阿里云SASE应用ID。 client_id：接口鉴权ID，创建阿里云SASE应用（通用配置页签）时IDaaS为您自动生成的。 client_secret：接口鉴权密钥，创建阿里云SASE应用（通用配置页签）时IDaaS为您自动生成的。 验签公钥端点链接：创建阿里云SASE应用（账户同步页签）时IDaaS为您自动生成的。 同步接收地址：在SASE控制台上复制该地址到IDaaS控制台的同步接收地址处。 加解密钥：创建阿里云SASE应用（账户同步页签）时IDaaS为您自动生成的。 说明 配置后您可以按照目录列表批量下发安全策略。在下发安全策略时，系统不会读取您的员工信息。 否：表示不授权读取部门结构。
   身份源配置状态	根据需要设置配置状态。取值： 已启用：如果当前没有启用其他身份源，您可以直接开启创建的身份源。 已禁用：如果当前存在已启用其他身份源，您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后，再开启新创建的身份源。 重要 关闭身份源配置状态开关，会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。

配置自定义单身份源

1. 登录办公安全平台控制台，在左侧导航栏，选择身份管理 > 身份源管理。

2. 添加自定义身份源。

   单击添加身份源，在单身份源的自定义身份源页签，参考下表设置自定义身份源。然后单击确定。

   配置项	说明
   配置名称	自定义身份源的名称信息。 长度为2~100个字符，中文字符、英文字母、阿拉伯数字、短划线（-）和下划线（_）。
   描述	该配置的描述信息。 该描述会作为登录标题显示在SASE 客户端界面，方便您登录时知晓身份源信息。
   电脑设备登录方式	支持账号密码登录和无密码登录。 使用账号密码登录方式时，您可以开启双因素认证，取值： OTP认证：开启OTP验证后，您还要选择OTP令牌模式，目前支持如下三种模式： 允许SASE移动端展示令牌：即SASE自带OTP，需要员工安装SASE移动端App。 允许第三方App令牌：需确保OTP客户端时钟同步正常，目前支持标准及常见的OTP认证软件，例如阿里云App等。 允许企业自有令牌：若需兼容企业自研OTP，请在技术人员支持下进行配置。 验证码认证：开启短信验证码验证，需确保配置的身份源中每个用户都已录入手机号。 使用无密码登录方式时，需要先下载并登录SASE移动端App，然后进行扫码认证。
   移动设备登录方式	支持账号密码登录和指纹或人脸识别认证。 使用账号密码登录方式时，您可以开启双因素认证，取值： OTP认证：开启OTP验证码验证前，需开启PC端OTP认证并选择允许第三方App绑定或者允许企业自有令牌，移动端令牌配置与电脑设备配置一致。 验证码认证：开启验证码验证，需确保配置的身份源中每个用户都已录入手机号或邮箱。 使用指纹或人脸识别认证方式时，首次登录SASE App时仍需要输入账号名与密码。
   身份源配置状态	根据需要设置配置状态。取值： 已启用：如果当前没有启用其他身份源，您可以直接开启创建的身份源。 已禁用：如果当前存在已启用其他身份源，您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后，再开启新创建的身份源。 重要 关闭身份源配置状态开关，会导致企业用户使用SASE客户端无法访问内网应用。请谨慎操作。

3. 添加用户信息。

   单击操作列详情，在详情面板，单击添加用户，添加后单击确定。支持通过以下两种方式添加用户信息，包含用户名、部门、邮箱、手机号等。

   说明

   如果需要为添加的用户设置部门，您可以单击部门管理，创建部门。

   • 手动添加

     您需要逐个添加每个用户的用户信息。

   • Excel导入

     通过下载指定模板，填入所有用户信息，然后批量上传所填的用户信息。

其他操作

添加完成后，配置的信息会显示在配置列表中。您可以根据实际情况，在身份源列表执行如下操作：

• 修改状态：认证管理只能开启一个。如果您需要调整状态，需要状态列先禁用已启用的状态，然后再开启其他的认证管理。

• 编辑配置信息：单击操作列的编辑，修改相关配置。

• 查看配置详情：单击操作列的详情，查看身份源配置的详细信息。

• 删除配置信息：单击操作列的删除，删除指定配置信息。