云安全访问服务使用动态身份验证的方式来标识客户端用户身份。通过建立云安全访问服务与应用身份服务(IDaaS)的连接,方便您使用安全访问服务,管控应用身份服务用户的内网访问权限。本文主要介绍了如何建立云安全访问服务与应用身份服务的连接。

前提条件

  • 已开通云安全访问服务,并已安装云安全访问服务客户端。具体操作,请参见申请免费试用账户设置
  • 已开通应用身份服务。具体操作,请参见开通和试用流程
  • 具有应用身份服务的管理员账号。

操作流程

步骤一:获取SP Entity ID和SP ACS URL信息

在创建身份管理之前,您需要先获取SP Entity IDSP ACS URL信息,用于创建SAML应用。SP Entity IDSP ACS URL是固定值,您可以保存如下固定值:
  • SP Entity ID:https://saml-csas.aliyuncs.com/saml/metadata
  • SP ACS URL:https://saml-csas.aliyuncs.com/saml/acs
您也可以登录云安全访问服务控制台,在身份管理 > IdP设置添加配置对话框中,选择IdP类型IDaas,获取SP Entity IDSP ACS URL信息。添加配置页面

步骤二:创建SAML应用并授权访问应用

获取SP Entity IDSP ACS URL信息之后,请按照以下步骤创建一个SAML应用。SAML应用是为了应用身份服务和云安全访问服务安全域交换认证和数据授权。详细信息,请参见SAML模板使用指南

  1. 使用管理员账号登录应用身份管理(IDaaS)控制台
  2. 创建应用身份服务用户账号。

    如果您已拥有应用身份服务用户账号,请跳过该步骤。

    1. 在左侧导航栏,单击EIAM实例列表
    2. 实例列表页面,单击目标实例右侧操作列的管理

      关于如何创建EIAM实例,请参见开通和试用流程

    3. 在左侧导航栏,选择账户 > 机构及组页面,单击新建账户新建账户1
    4. 在右侧新建账户面板,设置账户属性、扩展属性(数据字典)及父级组等信息创建账户,然后单击提交

      关于如何新建账号,请参见账户

      新建账户2

      提交后,您可以在弹出的增量同步对话框中集成父级的应用授权和同步SCIM协议,也可以单击取消稍后进行配置。

  3. 添加SAML应用。
    1. 在左侧导航栏,选择应用 > 添加应用
    2. 单击SAML应用右侧列的添加应用

      您可以在搜索框搜索SAML,快速查找到SAML应用。

      添加应用1
    3. 添加应用(SAML)面板中,单击添加SigningKey添加应用1
    4. 添加SigningKey面板中,设置相关信息创建一个SAML应用。然后单击提交添加SigningKey
    5. 返回添加应用(SAML)面板中,单击刚添加的应用右侧操作列的选择
    6. 请参考如下表格说明设置相关参数。然后单击提交添加应用
      名称 说明 示例值
      图标 通过上传文件,您可以重新设置图标。

      图片大小不超过1 MB。

      使用默认图标。
      应用ID 系统自动生成。 idaas-cn-68n1mmd7a01pluginxxxx
      应用名称 应用的名称。 SAML_test123
      IDP IdentityId IDP的认证参数,需要您自定义。 test
      SP Entity ID 固定值。关于该参数值,请参见步骤一:获取SP Entity ID和SP ACS URL信息 https://saml-csas.aliyuncs.com/saml/metadata
      SP ACS URL(SSO Location) 固定值。关于该参数值,请参见步骤一:获取SP Entity ID和SP ACS URL信息 https://saml-csas.aliyuncs.com/saml/acs
      NameIdFormat 名称ID格式,需要您选择ID的格式。 farmatxxxx
      Binding IDP调用SP提供的ACS URL的方式。不需要重新设置,保持默认配置POST POST
      Assertion Attribute 断言属性。配置后,会将值放入SAML断言中。名称为自定义名称,值为账户的属性值。您必须要配置的断言属性如下:
      • 账户名称
      • 邮箱
      • 手机号
      说明 断言属性需要与云安全访问服务中Idp设置中IDaaS类型的属性保持一致。您可以在IDP设置页面,通过设置属性查看IDaaS类型的属性。
      您需要设置的属性如下:
      • 账户名称
      • 邮箱
      • 手机号
      账户关联方式
      • 账户关联:系统按主子账户对应关系进行手动关联,用户添加后需要管理员审批。
      • 账户映射:系统自动将主账户名称或指定的字段映射为应用的子账户。
      账户映射
  4. 对用户访问SAML应用进行授权。
    1. 应用添加成功后,在弹出的对话框中单击立即授权

      如果您需要稍后授权,单击我知道了关闭对话框。

    2. 应用授权页面的应用授权主体页签,在左侧区域选择您创建的应用,在右侧区域选择您创建的账户信息进行授权。应用授权
  5. 单击保存,完成应用授权。

步骤三:获取元配置文件和API信息

创建完成SAML应用后,请按照以下步骤获取元配置文件和API信息。

  1. 使用管理员账号登录IDaaS管理控制台
  2. 在左侧导航栏,选择应用 > 应用列表
  3. 应用列表页面,展开目标应用右侧列的详情
  4. 应用信息区域,单击查看详情应用列表
  5. 在右侧应用详情面板,单击导出IDaaS SAML元配置文件应用详情
  6. 返回应用列表页面,开启API开关,获取API KeyAPI Secret信息并保存到本地。详情2

步骤四:创建身份管理

获取元配置文件和API信息后,请按照以下步骤在云安全访问服务控制台上创建身份管理。

  1. 登录云安全访问服务控制台
  2. 在左侧导航栏,选择身份管理 > IdP设置
  3. IdP设置页面,单击添加配置
  4. 添加配置对话框中,请参考如下表格说明设置相关参数。添加配置2
    表 1. 添加配置参数说明
    名称 说明 示例值
    IdP Idp的类型。您需要设置成IDaaS类型。 IDaaS
    配置名称 长度为2~100个字符,支持输入汉字与字母、数字、-和_。您需要自定义该名称。 test123
    SP Entity ID 固定值。关于如何获取该参数值,请参见步骤一:获取SP Entity ID和SP ACS URL信息 https://saml-csas.aliyuncs.com/saml/metadata
    SP ACS URL 固定值。关于如何获取该参数值,请参见步骤一:获取SP Entity ID和SP ACS URL信息 https://saml-csas.aliyuncs.com/saml/acs
    SAML元配置文件 关于如何获取该文件,请参见步骤三:获取元配置文件和API信息 xxxx
    同步目录结构 用于获取企业目录结构列表,您需要配置该参数用于按照目录列表批量下发安全策略。关于如何获取API KeyAPI Secret,请参见步骤三:获取元配置文件和API信息
    • API Key:dingwjlht8b93araxxxx
    • API Secret:1Uji1mEjhmWq_SmE0KNScspYk0bBgDrlZ95vUTR-bn4FbfeVQQKNr1_1giWAxxxx
    状态
    • 启用:如果您当前没有启动的IdP时,选择启用后,您创建的IDaaS配置开启;如果您当前存在已开启的IdP时,您需要先关闭已开启的IdP,然后再开启您新创建的IdP。
      说明 IdP设置功能只支持在同一时段开启一个IdP。
    • 禁用:您可以先禁用新创建的IDP,稍后进行开启。
    启用
  5. 单击确定,成功创建身份管理。

(可选)步骤五:开启用户登录短信认证

开启短信认证后,终端用户登录云安全访问服务应用时,需要完成短信认证。如果您不需要短信认证,请跳过该步骤。

  1. 登录应用份管理身控制台
  2. 在左侧导航栏,选择EIAM实例列表
  3. 定位到目标实例,单击用户登录页地址。登录地址
  4. 在登录页面,输入创建的应用身份服务的账户和密码。登录1
  5. 在短信认证页面,输入收到的认证码。验证
  6. IDaaS统一认证身份平台的左侧导航栏,选择设置 > 二次认证
  7. 二次认证页签,设置是否开启为是状态、登录认证方式短信认证码认证,然后单击保存二次认证

步骤六:查看连接是否建立成功

以上配置完成后,请按照以下步骤查看配置的连接是否建立成功。

  1. 打开您下载的云安全访问应用。
  2. 在登录云安全访问服务页面,输入企业认证标识,然后单击确定
    您可以在云安全访问服务设置中获取企业认证标识欢迎登陆
  3. 在短信认证页面,输入您收到的认证码。
    如果您没有设置短信认证,就不会显示该页面。短信2
  4. 使用创建的应用身份服务的用户账号和密码进行登录。
    关于应用身份服务的用户账户和密码,请参见步骤二:创建SAML应用并授权访问应用认证成功

    防护状态显示已开启,表示连接已经建立成功。