助力SSL VPN二次认证校验

背景介绍

阿里云 IDaaS 致力于统一身份认证领域，实现一个账号畅通所有应用的目的。此次 IDaaS 和 SSL VPN 进行对接，利用 IDaaS 的账户体系助力 SSL VPN 二次认证功能，减少 SSL VPN登录认证风险。

客户痛点：

SSL VPN 通过证书进行身份校验，其中面临很大风险：

1. 证书可能多人使用，不需要验证使用人信息就可直接登录 SSL VPN , 内部信息极容易出现泄漏风险
2. 出现事故，无法追踪使用人员，事后无法追责
3. 离职人员使用的证书，如果其它人也在使用，则无法及时删除离职人员的权限，出现越权行为

IDaaS 解决方案：

IDaaS 助力 SSL VPN 认证校验，登录时除了校验用户证书，还需要输入账户和密码进行校验，实现二次认证功能 。

• 如果您希望使用IDaaS的账户名和密码进行校验，可以直接在IDaaS维护用户信息
• 如果您希望使用AD的账户名和密码进行校验，在AD维护公司的用户信息，配置流程可以参考 云产品AD认证

收益：

1. 一人一账户，登录信息可追踪和审计查询
2. 离职员工权限可及时收回，避免数据泄露风险

在IDaaS维护用户信息

• 参考帮助文档管理员指南-组织机构，对公司组织机构的信息进行维护。
• 参考帮助文档管理员指南-账户，对公司员工账户的生命周期进行管理。

云产品AD认证

1. 以IT管理员账号登录云盾IDaaS管理平台。具体操作请参考 IT管理员指南-登录。
2. 在左侧导航栏中点击 认证 > 认证源 跳转到认证源界面。
3. 创建LDAP认证源，可参考帮助文档 LDAP认证源使用手册
4. 在左侧导航栏中点击点击 设置 > 安全设置 ，在安全设置页面点击 云产品AD认证 页签
   
5. 选择创建的AD认证源，启用该功能并点击保存设置。