配置单身份源

背景信息

SASE以身份驱动下发安全策略，所以在使用SASE之前，您需要完成与企业的身份管理服务对接。完成身份对接后，管理员可以按照企业组织架构下发安全管控策略。企业用户可使用与企业身份一致的账号体系登录SASE客户端办公。

通过添加身份源配置，您可以将企业内部身份信息导入到SASE，便于后续设置相关策略。

使用限制

目前只支持在同一时段开启一个身份源。如果当前存在已启用的身份源，您需要先禁用已启用的身份源，然后再启用您需要的身份源。

功能入口

登录办公安全平台控制台，在左侧导航栏，选择身份管理 > 身份源管理，然后单击添加身份源，在单身份源页签进行如下配置。

配置LDAP单身份源

教程介绍，请参见通过办公安全平台保障LDAP用户安全访问。

1. 在LDAP页签，设置LDAP身份源的服务配置。然后单击下一步。

   配置项	说明
   身份源配置状态	请根据需要启用或者禁用身份源。取值： 已启用：如果您当前没有启用的身份源，您可以直接开启创建的身份源。如果您当前存在已启用的身份源，您需要在身份证管理页面先禁用其他身份源，然后再开启您新创建的身份源。 已禁用：您可以先禁用新创建的身份源，稍后启用。
   类型选择	支持的目录类型。取值： Windows AD：Windows的目录服务。 OpenLDAP：轻型目录访问协议。
   配置名称	AD或者LDAP的名称信息，用户自定义。 长度为2~100个字符，支持输入汉字与字母、数字、短划线（-）和下划线（_）。
   描述	该配置的描述信息。 该描述会作为登录标题显示在SASE客户端界面，方便您登录时知晓身份源信息。
   服务器地址	AD或者LDAP服务器地址。
   服务器端口号	AD或者LDAP服务器的端口号。
   使用SSL连接方式	AD或者LDAP服务器是否开启SSL连接。取值： 是：开启SSL连接后，您在AD或者LDAP服务器上的数据会进行加密传输，保证您的数据安全。 否：表示不开启SSL连接。
   Base DN	要认证用户的Base DN。当您设置该值后，SASE会认证该节点下所有账户的信息。被认证的账户信息可以登录SASE App。该字段的长度为2~100个字符。 说明 如果要认证用户与组不在LDAP的同一节点下，那您需要设置高级配置中的用户Base DN和组Base DN。
   部门结构同步	输入管理员DN和管理员密码，用于从身份源中获取企业目录结构列表。 说明 配置后您可以按照企业目录结构列表批量下发安全策略。在下发安全策略时，系统不会读取您的员工信息。

2. 设置属性配置，然后单击下一步。
   设置属性字段及过滤器，以便您后续管控不同分组下企业用户的访问权限。

   配置项	说明
   登录用户名属性	设置登录用户名属性字段，用于统一同一企业用户登录时用户名的形式，您需要在企业内部定义该字段。 您可以选择LDAP默认的表示用户名属性的字段（包含cn、name、givenName、displayName、userPrincipalName、sAMAccountName），也可以输入LDAP定义的其他字段，用来表示登录用户名属性。 说明 userPrincipalName是有域后缀，当您选择userPrincipalName作为登录用户名属性时，登录时一定要填写对应的域后缀。例如：user1@aliyundoc.com。
   展示用户名属性	设置展示用户名属性字段，用于统一同一企业用户在终端设备上展示的用户名形式，您需要在企业内部定义该字段。展示用户名即账户名称。 您可以选择LDAP默认的表示用户名属性的字段（包含cn、name、givenName、displayName、userPrincipalName、sAMAccountName）），也可以输入LDAP定义的其他字段，用来表示展示用户名属性。
   组名称属性	设置组名称属性字段，用于统一同一企业中组名称的形式，您需要在企业内部统一定义该字段。 您可以选择LDAP默认的表示用户名属性的字段（包含cn、name、sAMAccountName），也可以输入LDAP定义的其他字段，用来表示组名称属性。
   组映射属性	设置组映射属性字段，用于定义企业用户所归属的组关系。默认值：memberOf。 说明 该字段非必选，如果您填写时，请与您在LDAP中设置的组映射属性一致。
   组过滤器	添加组过滤表达式，用于过滤不同分组的企业用户，以便您后续管控不同分组下企业用户的访问权限。 LDAP常见的过滤器表示方式举例： (&(objectClass=organizationalUnit)(objectClass=organization))：表示搜索objectClass等于organizationalUnit和objectClass等于organization，即两个属性都满足的所有组。 (|(objectClass=organizationalUnit)(objectClass=organization))：表示搜索objectClass等于organizationalUnit或object等于organization，即两个属性满足其中一个的组。 (!(objectClass=organizationalUnit))：表示搜索objectClass不等于organizationalUnit的组。 关于LDAP的具体匹配规则，请参见LDAP官方文档LDAP Filters。
   用户过滤器	您可以添加过滤表达式，用于过滤某一个或者某一类用户。 LDAP常见的过滤器表示方式举例： (&(objectClass=person)(objectClass=user)) ：表示搜索objectClass等于person和objectClass等于user，即两个属性都满足的所有企业用户。 (|(objectClass=person)(objectClass=user)) ：表示搜索objectClass等于person或object等于user，即两个属性满足其中一个的所有企业用户。 (!(objectClass=person))：表示搜索objectClass不等于person的所有企业用户。 关于LDAP的具体匹配规则，请参见LDAP官方文档LDAP Filters。
   邮箱属性	设置表示邮箱的字段。 注意 LDAP中默认的标识邮箱的字段为email，填写时需要与您在LDAP中设置的邮箱属性字段一致。
   手机号属性	设置标识手机号的字段。 注意 LDAP中默认的标识手机号的字段为telephoneNumber，填写时需要与您在LDAP中设置的手机号属性字段一致。

3. 设置双因素认证，然后单击登录测试。

   配置项	说明
   电脑设备登录方式	目前只支持账号密码登录。您可以开启电脑设备双因素认证，取值： 短信验证码认证：开启短信验证码验证，需确保配置的身份源中每个用户都已录入手机号。 OTP验证码认证：开启OTP验证码验证，需确保OTP客户端时钟同步正常。 目前支持Google Authenticator、Microsoft Authenticator、阿里云App等常见OTP客户端。
   移动设备登录方式	目前只支持账号密码登录。您可以开启移动设备双因素认证，取值： 短信验证码认证：开启短信验证码验证，需确保配置的身份源中每个用户都已录入手机号。 OTP验证码认证：开启OTP验证码验证，需确保OTP客户端时钟同步正常。 目前支持Google Authenticator、Microsoft Authenticator、阿里云App等常见OTP客户端。

   说明 如果您配置的数据有误，SASE会提示您对应的问题。当测试连接后，提示连接LDAP服务器失败，请联系管理员，您需要排查服务器地址、端口号是否填写正确，以及服务器网络是否正常。
4. 测试成功后，单击确认。

配置钉钉单身份源

教程介绍，请参见通过办公安全平台保障钉钉用户安全访问。

1. 在钉钉页签，设置钉钉身份源，然后单击连接测试。
   建立钉钉和SASE服务的通信连接。

   配置项	说明
   配置名称	钉钉的名称信息。 长度为2~100个字符，支持输入汉字与字母、数字、短划线（-）和下划线（_）。
   描述	该配置的描述信息。 该描述会作为登录标题显示在SASE客户端界面，方便您登录时知晓身份源信息。
   钉钉配置	CorpId：企业在钉钉中的标识，每个企业拥有唯一的CorpId。 CorpID从钉钉开放平台上首页获取。 AppKey：钉钉开放平台中创建应用的AppKey。 AppKey从钉钉开放平台上目标应用的基础信息页面获取。 AppSecret：钉钉开放平台中创建应用的AppKey。 AppSecret从钉钉开放平台上目标应用的基础信息页面获取。
   组织架构同步	全部部门 部分部门 如果选择部分部门，需要设置部门的ID。支持添加多个部门。
   应用首页地址	固定值：https://login.aliyuncsas.com/ui/dingAuth/。 该值用于在钉钉开放平台设置应用首页地址。
   回调域名	固定值：https://login.aliyuncsas.com/open-dev/dingtalk。 该值用于在钉钉开放平台设置回调域名。
   身份源配置状态	请根据需要设置配置状态。取值： 已启用：如果您当前没有启用的身份源，您可以直接开启创建的身份源。如果您当前存在已启用的身份源，您需要在身份证管理页面先禁用其他身份源，然后再开启您新创建的身份源。 已禁用：您可以先禁用新创建的身份源，稍后启用。

   如果提示连接失败，请检查服务器地址和服务器端口等信息是否填写错误。

2. 连接成功后，单击确定。

配置企业微信单身份源

教程介绍，请参见通过办公安全平台保障企业微信用户安全访问。

1. 在企业微信页签，参考下表设置企业微信身份源。然后单击连接测试。

   配置项	说明
   配置名称	企业微信身份源的名称信息。 长度为2~100个字符，支持输入汉字与字母、数字、短划线（-）和下划线（_）。
   描述	该配置的描述信息。 该描述会作为登录标题显示在SASE客户端界面，方便您登录时知晓身份源信息。
   身份源配置状态	请根据需要设置配置状态。取值： 已启用：如果您当前没有启用的身份源，您可以直接开启创建的身份源。如果您当前存在已启用的身份源，您需要在身份证管理页面先禁用其他身份源，然后再开启您新创建的身份源。 已禁用：您可以先禁用新创建的身份源，稍后启用。
   企业ID	企业微信上设置的企业ID。
   AgentID	企业微信上创建的应用ID。
   Secret	企业微信上创建的应用密码。
   授权回调域	固定值：login.aliyuncsas.com。 该值用于在企业微信平台授权Web网页登录时设置的授权回调域。

   如果提示连接失败，请检查相关信息是否填写错误。

2. 连接成功后，单击确定。

配置飞书单身份源

教程介绍，请参见通过办公安全平台保障飞书用户安全访问。

1. 在飞书页签，参考下表设置飞书身份源。然后单击连接测试。

   配置项	说明
   配置名称	飞书身份源的名称信息。 长度为2~100个字符，支持输入汉字与字母、数字、短划线（-）和下划线（_）。
   描述	该配置的描述信息。 该描述会作为登录标题显示在SASE客户端界面，方便您登录时知晓身份源信息。
   身份源配置状态	请根据需要设置配置状态。取值： 已启用：如果您当前没有启用的身份源，您可以直接开启创建的身份源。如果您当前存在已启用的身份源，您需要在身份证管理页面先禁用其他身份源，然后再开启您新创建的身份源。 已禁用：您可以先禁用新创建的身份源，稍后启用。
   App ID	飞书平台自建应用的应用ID。
   App Secret	飞书平台自建应用的密码。
   重定向URL	固定值：https://login.aliyuncsas.com/open-dev/feishu。 该值用于在飞书开放平台配置重定向URL。

   如果提示连接失败，请检查相关信息是否填写错误。

2. 连接成功后，单击确定。

配置IDaaS单身份源

教程介绍，请参见建立办公安全平台与应用身份服务的连接。

在IDaaS页签，设置IDaaS身份源。然后单击确定。

配置自定义单身份源

在自定义身份源页面，设置自定义身份源，然后单击确定。

其他操作

添加完成后，配置的信息会显示在配置列表中。您可以根据实际情况，修改如下配置：

• 修改状态：认证管理只能开启一个。如果您需要调整状态，需要先禁用已启用的状态，然后再开启其他的认证管理。
• 编辑配置信息：单击编辑，修改相关配置。
• 查看配置详情：单击详情，查看身份源配置的详细信息。
• 删除配置信息：单击删除，删除指定配置信息。