SASE通过动态身份验证的方式来标识客户端用户身份。通过设置IdP,将企业的IdP服务器与SASE服务连通。本文介绍如何添加IdP配置。

背景信息

使用SASE对企业员工内网访问行为进行管控前,您必须先设置企业IdP信息,完成对企业的LDAP服务器和IDaaS身份服务的认证,将客户端用户身份属性下发到SASE服务中。

SASE当前支持Windows AD、OpenLDAP、IDaaS以及自定义IdP身份服务配置。

添加IdP配置

通过添加IdP配置,可以实现将企业内部身份信息导入到SASE,便于后续设置内网访问策略。

  1. 登录云安全访问服务控制台
  2. 在左侧导航栏,选择身份管理 > IdP设置
  3. IdP设置页面,单击左上角添加配置
  4. 添加配置对话框,配置IdP的属性。
    目前,SASE支持LDAP、IDaaS和自定义IdP配置,请根据您业务的实际情况选择。配置说明如下:
    • 配置LDAP类型
      1. 请参考如下表格的参数说明设置LDAP的基本信息,然后单击测试连接

        建立LDAP服务器和SASE服务之间的通信连接。

        添加配置
        参数名称 参数说明
        IdP类型 IdP的类型。配置LDAP类型时选择LDAP。
        AD/LDAP名称 AD或者LDAP的名称信息。

        长度为2~100个字符,支持输入汉字与字母、数字、短划线(-)和下划线(_)。

        服务器地址 AD或者LDAP的服务器地址。
        服务器端口号 AD或者LDAP的服务器的端口号。
        Base DN LDAP中的节点。当您设置该值后,SASE会认证该节点的账户信息。长度为2~100个字符。例如,dc=idsmanager,dc=com。
        连接方式 LDAP服务器是否开启SSL连接。

        开启SSL连接后,您在LDAP服务器上的数据会进行加密传输,保证您的数据安全。

        类型选择 支持选择的目录类型。取值:
        • Windows AD:Windows的目录服务。
        • OpenLDAP:轻型目录访问协议。
        同步模式 支持的同步模式。取值:
        • 仅认证:用于仅同步企业目录结构列表。
        • 授权读取部门结构:请输入企业任意账号,用以从IdP中获取企业目录结构列表。
          说明 配置后您可以按照企业目录结构列表批量下发安全策略。在下发安全策略时,系统不会读取您的员工信息。
        二次认证 支持的二次认证方式。取值:
        • 短信验证码认证:开启短信验证码验证,需确保配置的IdP中每个用户都已录入手机号。
        • OTP验证码认证:开启OTP验证码验证,需确保OTP客户端时钟同步正常。

          目前支持Google Authenticator、Microsoft Authenticator、阿里云App等常见OTP客户端。

        IdP配置状态 请根据需要设置配置状态。取值:
        • 启用:如果您当前没有启动的IdP,选择启用后,您创建的IdP配置开启。如果您当前存在已开启的IdP,您需要先关闭已开启的IdP,然后再开启您新创建的IdP。
          说明 IdP设置功能只支持在同一时段开启一个IdP。
        • 禁用:您可以先禁用新创建的IdP,稍后进行开启。

        如果提示连接失败,请检查服务器地址和服务器端口等信息是否填写错误。

      2. 连接成功后,单击确认
    • 配置IDaaS类型

      请参考如下表格的参数说明设置IDaaS的基本信息,然后单击确定

      IDaaS添加配置
      参数名称 参数说明
      IdP类型 IdP的类型。配置IDaaS类型时选择IDaaS。
      配置名称 IDaaS配置的名称。

      长度为2~100个字符,支持输入汉字与字母、数字、短划线(-)和下划线(_)。

      SP Entity ID 业务系统实体ID。固定值:https://saml-csas.aliyuncs.com/saml/metadata。
      SP ACS URL 业务系统接收SAML请求的地址。固定值:https://saml-csas.aliyuncs.com/saml/acs。
      SAML元配置文件 获取到的SAML元配置文件。关于如何获取该文件,请参见获取元配置文件
      同步目录结构 请输入IDaaS的API相关信息,用以获取企业目录结构列表。
      说明 配置后您可以按照目录列表批量下发安全策略。在下发安全策略时,系统不会读取您的员工信息。
      状态 请根据需要设置配置状态。取值:
      • 启用:如果您当前没有启动的IdP,选择启用后,您创建的IdP配置开启。如果您当前存在已开启的IdP,您需要先关闭已开启的IdP,然后再开启您新创建的IdP。
        说明 IdP设置功能只支持在同一时段开启一个IdP。
      • 禁用:您可以先禁用新创建的IdP,稍后进行开启。

      关于如何建立SASE与IDaaS的连接,请参见建立云安全访问服务与应用身份服务的连接

    • 自定义IdP类型

      请参考如下表格的参数说明设置自定义IdP信息,然后单击确定

      自定义IdP
      参数名称 参数说明
      IdP类型 IdP的类型。配置自定义IdP类型时选择自定义IdP。
      IdP名称 自定义IdP的名称信息。

      长度为2~100个字符,支持输入汉字与字母、数字、短划线(-)和下划线(_)。

      二次认证 支持的二次认证方式。取值:
      • 短信验证码认证:开启短信验证码验证,需确保配置的IdP中每个用户都已录入手机号。
      • OTP验证码认证:开启OTP验证码验证,需确保OTP客户端时钟同步正常。

        目前支持Google Authenticator、Microsoft Authenticator、阿里云App等常见OTP客户端。

      IdP配置状态 请根据需要设置配置状态。取值:
      • 启用:如果您当前没有启动的IdP,选择启用后,您创建的IdP配置开启。如果您当前存在已开启的IdP,您需要先关闭已开启的IdP,然后再开启您新创建的IdP。
        说明 IdP设置功能只支持在同一时段开启一个IdP。
      • 禁用:您可以先禁用新创建的IdP,稍后进行开启。

设置IdP属性

添加IdP配置完成后,您还需要设置该IdP的属性,将IdP中的属性与SASE控制台的身份属性关联。

  1. IdP设置页面,单击设置属性
  2. 设置属性页面,配置LDAP服务器或IDaaS服务中用户身份属性的字段名称。设置属性
  3. 单击确认,完成IdP属性配置。
    完成IdP属性配置后,才能进行客户端部署。相关内容,请参见账户设置