SASE通过动态身份验证的方式来标识客户端用户身份。通过设置身份源,您可以将企业的身份源服务器与SASE服务连通。SASE为您提供单身份源和多身份源功能,如果您的业务只涉及一种身份源,您可以根据本文的介绍,配置对应的单身份源信息。

背景信息

SASE以身份驱动下发安全策略,所以在使用SASE之前,您需要完成与企业的身份管理服务对接。完成身份对接后,管理员可以按照企业组织架构下发安全管控策略。企业用户可使用与企业身份一致的账号体系登录SASE客户端办公。

通过添加身份源配置,您可以将企业内部身份信息导入到SASE,便于后续设置相关策略。

使用限制

目前只支持在同一时段开启一个身份源。如果当前存在已启用的身份源,您需要先禁用已启用的身份源,然后再启用您需要的身份源。

功能入口

登录办公安全平台控制台,在左侧导航栏,选择身份管理 > 身份源管理,然后单击添加身份源,在单身份源页签进行如下配置。

配置LDAP单身份源

教程介绍,请参见通过办公安全平台保障LDAP用户安全访问

  1. LDAP页签,设置LDAP身份源的服务配置。然后单击下一步
    配置项 说明
    身份源配置状态 请根据需要启用或者禁用身份源。取值:
    • 已启用:如果您当前没有启用的身份源,您可以直接开启创建的身份源。如果您当前存在已启用的身份源,您需要在身份证管理页面先禁用其他身份源,然后再开启您新创建的身份源。
    • 已禁用:您可以先禁用新创建的身份源,稍后启用。
    类型选择 支持的目录类型。取值:
    • Windows AD:Windows的目录服务。
    • OpenLDAP:轻型目录访问协议。
    配置名称 AD或者LDAP的名称信息,用户自定义。

    长度为2~100个字符,支持输入汉字与字母、数字、短划线(-)和下划线(_)。

    描述 该配置的描述信息。

    该描述会作为登录标题显示在SASE客户端界面,方便您登录时知晓身份源信息。

    服务器地址 AD或者LDAP服务器地址。
    服务器端口号 AD或者LDAP服务器的端口号。
    使用SSL连接方式 AD或者LDAP服务器是否开启SSL连接。取值:
    • :开启SSL连接后,您在AD或者LDAP服务器上的数据会进行加密传输,保证您的数据安全。
    • :表示不开启SSL连接。
    Base DN 要认证用户的Base DN。当您设置该值后,SASE会认证该节点下所有账户的信息。被认证的账户信息可以登录SASE App。该字段的长度为2~100个字符。
    说明 如果要认证用户与组不在LDAP的同一节点下,那您需要设置高级配置中的用户Base DN组Base DN
    部门结构同步 输入管理员DN和管理员密码,用于从身份源中获取企业目录结构列表。
    说明 配置后您可以按照企业目录结构列表批量下发安全策略。在下发安全策略时,系统不会读取您的员工信息。
  2. 设置属性配置,然后单击下一步
    设置属性字段及过滤器,以便您后续管控不同分组下企业用户的访问权限。
    配置项 说明
    登录用户名属性 设置登录用户名属性字段,用于统一同一企业用户登录时用户名的形式,您需要在企业内部定义该字段。

    您可以选择LDAP默认的表示用户名属性的字段(包含cnnamegivenNamedisplayNameuserPrincipalNamesAMAccountName),也可以输入LDAP定义的其他字段,用来表示登录用户名属性

    说明 userPrincipalName是有域后缀,当您选择userPrincipalName作为登录用户名属性时,登录时一定要填写对应的域后缀。例如:user1@aliyundoc.com。
    展示用户名属性 设置展示用户名属性字段,用于统一同一企业用户在终端设备上展示的用户名形式,您需要在企业内部定义该字段。展示用户名即账户名称。

    您可以选择LDAP默认的表示用户名属性的字段(包含cnnamegivenNamedisplayNameuserPrincipalNamesAMAccountName)),也可以输入LDAP定义的其他字段,用来表示展示用户名属性

    组名称属性 设置组名称属性字段,用于统一同一企业中组名称的形式,您需要在企业内部统一定义该字段。

    您可以选择LDAP默认的表示用户名属性的字段(包含cnnamesAMAccountName),也可以输入LDAP定义的其他字段,用来表示组名称属性

    组映射属性 设置组映射属性字段,用于定义企业用户所归属的组关系。默认值:memberOf
    说明 该字段非必选,如果您填写时,请与您在LDAP中设置的组映射属性一致。
    组过滤器 添加组过滤表达式,用于过滤不同分组的企业用户,以便您后续管控不同分组下企业用户的访问权限。
    LDAP常见的过滤器表示方式举例:
    • (&(objectClass=organizationalUnit)(objectClass=organization)):表示搜索objectClass等于organizationalUnit和objectClass等于organization,即两个属性都满足的所有组。
    • (|(objectClass=organizationalUnit)(objectClass=organization)):表示搜索objectClass等于organizationalUnit或object等于organization,即两个属性满足其中一个的组。
    • (!(objectClass=organizationalUnit)):表示搜索objectClass不等于organizationalUnit的组。

    关于LDAP的具体匹配规则,请参见LDAP官方文档LDAP Filters

    用户过滤器 您可以添加过滤表达式,用于过滤某一个或者某一类用户。
    LDAP常见的过滤器表示方式举例:
    • (&(objectClass=person)(objectClass=user)) :表示搜索objectClass等于person和objectClass等于user,即两个属性都满足的所有企业用户。
    • (|(objectClass=person)(objectClass=user)) :表示搜索objectClass等于person或object等于user,即两个属性满足其中一个的所有企业用户。
    • (!(objectClass=person)):表示搜索objectClass不等于person的所有企业用户。

    关于LDAP的具体匹配规则,请参见LDAP官方文档LDAP Filters

    邮箱属性 设置表示邮箱的字段。
    注意 LDAP中默认的标识邮箱的字段为email,填写时需要与您在LDAP中设置的邮箱属性字段一致。
    手机号属性 设置标识手机号的字段。
    注意 LDAP中默认的标识手机号的字段为telephoneNumber,填写时需要与您在LDAP中设置的手机号属性字段一致。
  3. 设置双因素认证,然后单击登录测试
    配置项 说明
    电脑设备登录方式 目前只支持账号密码登录。您可以开启电脑设备双因素认证,取值:
    • 短信验证码认证:开启短信验证码验证,需确保配置的身份源中每个用户都已录入手机号。
    • OTP验证码认证:开启OTP验证码验证,需确保OTP客户端时钟同步正常。

      目前支持Google Authenticator、Microsoft Authenticator、阿里云App等常见OTP客户端。

    移动设备登录方式 目前只支持账号密码登录。您可以开启移动设备双因素认证,取值:
    • 短信验证码认证:开启短信验证码验证,需确保配置的身份源中每个用户都已录入手机号。
    • OTP验证码认证:开启OTP验证码验证,需确保OTP客户端时钟同步正常。

      目前支持Google Authenticator、Microsoft Authenticator、阿里云App等常见OTP客户端。

    说明 如果您配置的数据有误,SASE会提示您对应的问题。当测试连接后,提示连接LDAP服务器失败,请联系管理员,您需要排查服务器地址、端口号是否填写正确,以及服务器网络是否正常。
  4. 测试成功后,单击确认

配置钉钉单身份源

教程介绍,请参见通过办公安全平台保障钉钉用户安全访问

  1. 钉钉页签,设置钉钉身份源,然后单击连接测试
    建立钉钉和SASE服务的通信连接。
    配置项 说明
    配置名称 钉钉的名称信息。

    长度为2~100个字符,支持输入汉字与字母、数字、短划线(-)和下划线(_)。

    描述 该配置的描述信息。

    该描述会作为登录标题显示在SASE客户端界面,方便您登录时知晓身份源信息。

    钉钉配置
    • CorpId:企业在钉钉中的标识,每个企业拥有唯一的CorpId。

      CorpID从钉钉开放平台上首页获取。

    • AppKey:钉钉开放平台中创建应用的AppKey。

      AppKey从钉钉开放平台上目标应用的基础信息页面获取。

    • AppSecret:钉钉开放平台中创建应用的AppKey。

      AppSecret从钉钉开放平台上目标应用的基础信息页面获取。

    组织架构同步
    • 全部部门
    • 部分部门

      如果选择部分部门,需要设置部门的ID。支持添加多个部门。

    应用首页地址 固定值:https://login.aliyuncsas.com/ui/dingAuth/

    该值用于在钉钉开放平台设置应用首页地址。

    回调域名 固定值:https://login.aliyuncsas.com/open-dev/dingtalk

    该值用于在钉钉开放平台设置回调域名。

    身份源配置状态 请根据需要设置配置状态。取值:
    • 已启用:如果您当前没有启用的身份源,您可以直接开启创建的身份源。如果您当前存在已启用的身份源,您需要在身份证管理页面先禁用其他身份源,然后再开启您新创建的身份源。
    • 已禁用:您可以先禁用新创建的身份源,稍后启用。

    如果提示连接失败,请检查服务器地址和服务器端口等信息是否填写错误。

  2. 连接成功后,单击确定

配置企业微信单身份源

教程介绍,请参见通过办公安全平台保障企业微信用户安全访问

  1. 企业微信页签,参考下表设置企业微信身份源。然后单击连接测试
    配置项 说明
    配置名称 企业微信身份源的名称信息。

    长度为2~100个字符,支持输入汉字与字母、数字、短划线(-)和下划线(_)。

    描述 该配置的描述信息。

    该描述会作为登录标题显示在SASE客户端界面,方便您登录时知晓身份源信息。

    身份源配置状态 请根据需要设置配置状态。取值:
    • 已启用:如果您当前没有启用的身份源,您可以直接开启创建的身份源。如果您当前存在已启用的身份源,您需要在身份证管理页面先禁用其他身份源,然后再开启您新创建的身份源。
    • 已禁用:您可以先禁用新创建的身份源,稍后启用。
    企业ID 企业微信上设置的企业ID。
    AgentID 企业微信上创建的应用ID。
    Secret 企业微信上创建的应用密码。
    授权回调域 固定值:login.aliyuncsas.com

    该值用于在企业微信平台授权Web网页登录时设置的授权回调域。

    如果提示连接失败,请检查相关信息是否填写错误。

  2. 连接成功后,单击确定

配置飞书单身份源

教程介绍,请参见通过办公安全平台保障飞书用户安全访问

  1. 飞书页签,参考下表设置飞书身份源。然后单击连接测试
    配置项 说明
    配置名称 飞书身份源的名称信息。

    长度为2~100个字符,支持输入汉字与字母、数字、短划线(-)和下划线(_)。

    描述 该配置的描述信息。

    该描述会作为登录标题显示在SASE客户端界面,方便您登录时知晓身份源信息。

    身份源配置状态 请根据需要设置配置状态。取值:
    • 已启用:如果您当前没有启用的身份源,您可以直接开启创建的身份源。如果您当前存在已启用的身份源,您需要在身份证管理页面先禁用其他身份源,然后再开启您新创建的身份源。
    • 已禁用:您可以先禁用新创建的身份源,稍后启用。
    App ID 飞书平台自建应用的应用ID。
    App Secret 飞书平台自建应用的密码。
    重定向URL 固定值:https://login.aliyuncsas.com/open-dev/feishu

    该值用于在飞书开放平台配置重定向URL。

    如果提示连接失败,请检查相关信息是否填写错误。

  2. 连接成功后,单击确定

配置IDaaS单身份源

教程介绍,请参见建立办公安全平台与应用身份服务的连接

IDaaS页签,设置IDaaS身份源。然后单击确定

配置项 说明
身份源配置状态 请根据需要设置配置状态。取值:
  • 已启用:如果您当前没有启用的身份源,您可以直接开启创建的身份源。如果您当前存在已启用的身份源,您需要在身份证管理页面先禁用其他身份源,然后再开启您新创建的身份源。
  • 已禁用:您可以先禁用新创建的身份源,稍后启用。
配置名称 IDaaS配置的名称。

长度为2~100个字符,支持输入汉字与字母、数字、短划线(-)和下划线(_)。

描述 该配置的描述信息。

该描述会作为登录标题显示在SASE客户端界面,方便您登录时知晓身份源信息。

SP Entity ID 业务系统实体ID。固定值:https://saml-csas.aliyuncs.com/saml/metadata
SP ACS URL 业务系统接收SAML请求的地址。固定值:https://saml-csas.aliyuncs.com/saml/acs
SAML元配置文件 获取到的SAML元配置文件。

关于如何获取该文件,请参见获取元配置文件

授权读取部门结构 请根据需要授权读取部门结构的权限。取值:
  • :请输入IDaaS的API相关信息,用以获取企业目录结构列表,需要设置API KeyAPI Secret
    说明 配置后您可以按照目录列表批量下发安全策略。在下发安全策略时,系统不会读取您的员工信息。
  • :表示不授权读取部门结构。
属性配置 固定值。

配置自定义单身份源

自定义身份源页面,设置自定义身份源,然后单击确定

配置项 说明
配置名称 自定义身份源的名称信息。

长度为2~100个字符,支持输入汉字与字母、数字、短划线(-)和下划线(_)。

描述 该配置的描述信息。

该描述会作为登录标题显示在SASE客户端界面,方便您登录时知晓身份源信息。

电脑设备登录方式 目前只支持账号密码登录。您可以开启电脑设备双因素认证,取值:
  • 短信验证码认证:开启短信验证码验证,需确保配置的身份源中每个用户都已录入手机号。
  • OTP验证码认证:开启OTP验证码验证,需确保OTP客户端时钟同步正常。

    目前支持Google Authenticator、Microsoft Authenticator、阿里云App等常见OTP客户端。

移动设备登录方式 目前只支持账号密码登录。您可以开启移动设备双因素认证,取值:
  • 短信验证码认证:开启短信验证码验证,需确保配置的身份源中每个用户都已录入手机号。
  • OTP验证码认证:开启OTP验证码验证,需确保OTP客户端时钟同步正常。

    目前支持Google Authenticator、Microsoft Authenticator、阿里云App等常见OTP客户端。

身份源配置状态 请根据需要设置配置状态。取值:
  • 已启用:如果您当前没有启用的身份源,您可以直接开启创建的身份源。如果您当前存在已启用的身份源,您需要在身份证管理页面先禁用其他身份源,然后再开启您新创建的身份源。
  • 已禁用:您可以先禁用新创建的身份源,稍后启用。

其他操作

添加完成后,配置的信息会显示在配置列表中。您可以根据实际情况,修改如下配置:

  • 修改状态:认证管理只能开启一个。如果您需要调整状态,需要先禁用已启用的状态,然后再开启其他的认证管理。
  • 编辑配置信息:单击编辑,修改相关配置。
  • 查看配置详情:单击详情,查看身份源配置的详细信息。
  • 删除配置信息:单击删除,删除指定配置信息。

后续步骤

设置完身份源后,您可以根据业务需要设置用户组。具体操作,请参见配置用户组