解决内网应用局限性,快速实现在家办公需求。

解决方案概述

构说明:使用 IDaaS 提供身份认证以及权限管理,SPG(*)提供基于身份校验以及应用代理等能力,使员工在家也能安全连上内网应用。

说明 (*)SPG为阿里线下产品,支持部署在虚拟机或者物理机上,产品具体信息请联系阿里售前专员或客服 。

优点

  • 本方案以身份为核心,采用多因子强认证方式建立可信通道,分组授权,最小化暴露面,解决远程办公过程中身份冒用和业务安全的问题。
  • 无论客户业务部署在阿里云、友商云,还是IDC都适用。
  • 可结合钉钉使用,实现从钉钉一键访问内网应用。

    更多场景方案,请详询阿里售前专员或客服

一、环境准备

  1. 购买 IDaaS 产品
  2. 将您需要远程办公的人员导入 IDaaS,账户迁移支持AD/LDAP导入Excel导入
  3. 部署 SPG,需要您提目标虚拟机或者物理机,目标机需要能被用户访问到同时可联通到内网应用,然后联系售前专员进行SPG产品部署。

二、在IDaaS中创建应用

操作步骤

  1. 以IT管理员账号登录云盾IDaaS管理平台。具体操作请参考 IT管理员指南-登录
  2. 在左侧导航栏,点击应用 > 添加应用。选择JWT应用模板点击添加应用

  3. 根据页面提示,在添加应用配置对话框完成添加配置
    说明 应用系统可参考开发指南-SSO插件式SSO,进行内网应用的单点登录改造。应用如果不进行改造也不影响整体方案,但是跳转到应用后用户还需要输入在应用里的密码。

    说明 redirect_uri为经过SPG反向代理后的内网应用的登录地址。操作步骤参考二、SPG反向代理应用系统
  4. 应用添加完成后。使用普通用户账号登录云盾IDaaS控制台。具体操作请参考普通用户指南-登录
  5. 主导航 > 首页,点击应用图标,访问内网应用。

    通过以上步骤即可实现用户通过IDaaS访问SPG反向代理后的内网OA系统。

    说明 用户内网OA系统的地址为http://xxx.xxx.com/jwtdemo, SPG反向代理后的地址为https://spg.idsmanager.com:8041/jwtdemo

三、SPG反向代理应用系统

操作步骤

  1. 管理员登录SPG,点击服务管理 > 服务列表

  2. 点击添加服务,输入后端服务器的信息

  3. 点击系统管理 > SPG服务器管理,添加服务器配置

  4. 点击应用管理 > 应用列表,添加WEB服务器的反向代理
    1. 点击添加应用,选择WEB代理

    2. 配置代理信息,如图

    3. 点击确认提交,点击右上角重新加载服务

通过以上步骤即可实现将内网应用反向代理到外网

四、ID_Token保护代理后的内网应用

操作步骤

  1. 以IT管理员账号登录云盾IDaaS管理平台。具体操作请参考 IT管理员指南-登录
  2. 在左侧导航栏,点击应用 > 应用列表。选择应用点击详情,获取应用的SP发起地址

  3. 点击查看详情,获取应用公钥

  4. 管理员登录SPG,选择代理后的应用,点击编辑

  5. 修改认证方式为Single HTTPS + ID_Token,并配置SP SSO URL公钥配置
    说明 SP SSO URL即为步骤2中获取的SP发起地址;公钥配置为步骤3中的JWT PublicKey。

  6. 点击确认,再次点击右上角重新加载服务

通过以上步骤,实现IDaaS与SPG联动。通过ID_Token保护代理后的内网应用,用户在访问代理后的内网应用时,需携带IDaaS签发的ID_Token才可以成功访问。否则,将会强制重定向到IDaaS进行身份认证。