CSAS通过动态身份验证的方式来标识客户端用户身份。通过设置IdP,将企业的IdP服务器与CSAS服务连通。本文介绍如何添加IdP配置。

背景信息

使用CSAS对企业员工内网访问行为进行管控前,您必须先设置企业IdP信息,完成对企业的LDAP服务器和IDaaS身份服务的认证,将客户端用户身份属性下发到CSAS服务中。

CSAS当前支持Windows AD、OpenLDAP、IDaaS、Okta等多种身份服务配置。

添加IdP配置

通过添加IdP配置,可以实现将企业内部身份信息导入到CSAS,便于后续设置内网访问策略。

  1. 登录云安全访问服务控制台
  2. 在左侧导航栏,单击身份管理 > IdP设置
  3. IdP设置页面,单击左上角添加配置
  4. 添加配置对话框中,配置IdP的属性。
    目前,CSAS支持LDAP和IDaaS两种IdP类型,请根据您业务的实际情况选择。配置说明如下:
    • 选择LDAP类型,设置LDAP的基本信息,并选择开启或禁用该配置,最后单击测试连接,建立LDAP服务器和CSAS服务之间的通信连接。连接成功后,单击确认,保存配置信息。LDAP配置信息
      说明 如果提示连接失败,请检查服务器地址和服务器端口等信息是否填写错误。
    • 选择IDaaS类型,设置IDaaS配置的名称,上传元配置文件,并选择开启或禁用该配置。IDaaS配置

      上传元配置文件操作如下:

      1. 添加IdP配置页面,复制SP Entity ID和SP ACS URL。
      2. 登录IDaaS控制台,在机构及组页面新建账户。如果您已有IDaaS账户,可跳过本步骤。
      3. 添加应用页面,定位到SAML应用,单击操作列的添加应用
      4. 添加应用页面,单击操作列的选择,对SAML元文件进行配置。
      5. 在SP Entity ID和SP ACL URL输入框中,分别粘贴步骤1中复制的值,完成SAML协议的创建。
      6. 添加应用页面,定位到SAML应用,单击操作列的授权
      7. 应用授权页面,单击按应用授权组织机构/组,选中需要绑定该应用的组织机构和组,并单击保存
      8. 单击该应用的查看详情,在应用详情页面,单击导出IDaaS SAML元配置文件
      9. 返回CSAS控制台,在IdP设置模块的添加配置页面,将导出的IDaaS SAML元文件内容粘贴到IdP元配置文件输入框中。
  5. 单击确定,完成IdP配置。
    您可以添多条IdP属性,但只能启用其中的一条。启用某条属性后,其余的属性将会自动设置为禁用

设置IdP属性

添加IdP配置完成后,您还需要设置该IdP的属性,将IdP中的属性与CSAS控制台的身份属性关联。

  1. IdP设置页面,单击设置属性
  2. 设置属性页面,配置LDAP服务器或IDaaS服务中用户身份属性的字段名称。设置属性
  3. 单击确认,完成IdP属性配置。
    完成IdP属性配置后,才能进行客户端部署。相关内容,请参见企业用户安装安全客户端