背景介绍

阿里云 IDaaS 致力于统一身份认证领域,实现一个账号畅通所有应用的目的。此次 IDaaS 和 SSL VPN 进行对接,利用 IDaaS 的账户体系助力 SSL VPN 二次认证功能,减少 SSL VPN登录认证风险。

客户痛点

SSL VPN 通过证书进行身份校验,其中面临很大风险:

  1. 证书可能多人使用,不需要验证使用人信息就可直接登录 SSL VPN , 内部信息极容易出现泄漏风险
  2. 出现事故,无法追踪使用人员,事后无法追责
  3. 离职人员使用的证书,如果其它人也在使用,则无法及时删除离职人员的权限,出现越权行为

IDaaS 解决方案

IDaaS 助力 SSL VPN 认证校验,登录时除了校验用户证书,还需要输入账户和密码进行校验,实现二次认证功能 。

  • 如果您希望使用IDaaS的账户名和密码进行校验,可以直接在IDaaS维护用户信息
  • 如果您希望使用AD的账户名和密码进行校验,在AD维护公司的用户信息,配置流程可以参考 云产品AD认证

收益

  1. 一人一账户,登录信息可追踪和审计查询
  2. 离职员工权限可及时收回,避免数据泄露风险

在IDaaS维护用户信息

云产品AD认证

  1. 以IT管理员账号登录云盾IDaaS管理平台。具体操作请参考 IT管理员指南-登录
  2. 在左侧导航栏中点击 认证 > 认证源 跳转到认证源界面。
  3. 创建LDAP认证源,可参考帮助文档 LDAP认证源使用手册
  4. 在左侧导航栏中点击点击 设置 > 安全设置 ,在安全设置页面点击 云产品AD认证 页签
  5. 选择创建的AD认证源,启用该功能并点击保存设置。