建立办公安全平台SASE(Secure Access Service Edge)与应用身份服务IDaaS(Alibaba Cloud IDentity as a Service)的连接,使您的企业用户直接以应用身份服务账号登录办公安全平台,方便您在办公安全平台管控企业用户的访问权限,从而保障企业的办公数据安全。本文介绍如何建立办公安全平台与应用身份服务的连接。
应用场景
办公安全平台帮助您管控企业员工的内网访问权限、互联网访问权限,以及保护企业办公数据,满足企业对日常办公安全的需求。当您已经使用应用身份服务管理企业的用户信息,此时,您可以通过办公安全平台与应用身份服务的连接,实现企业用户直接使用应用身份服务账号登录办公安全平台客户端,无需再维护一套办公安全平台的身份管理系统,为您降低用户信息的维护成本。
操作流程
步骤一:获取SP Entity ID和SP ACS URL信息
建立
办公安全平台与
应用身份服务连接之前,您需要先获取
SP Entity ID和
SP ACS URL信息,用于创建SAML应用。
SP Entity ID和
SP ACS URL是固定值,您可以保存如下固定值:
- SP Entity ID:https://saml-csas.aliyuncs.com/saml/metadata
- SP ACS URL:https://saml-csas.aliyuncs.com/saml/acs
您可以在办公安全平台控制台的身份源管理页面,添加身份源信息时设置身份源为IDaas,获取SP Entity ID和SP ACS URL信息。
步骤二:创建SAML应用并授权访问应用
创建SAML应用是为了办公安全平台与应用身份服务安全域交换认证和数据授权。
- 开通EIAM实例。具体操作,请参见免费开通EIAM实例。
- 创建SAML应用并授权访问应用。
- 使用管理员账号登录应用身份管理身控制台。在左侧导航栏,单击EIAM云身份服务。
- 在EIAM云身份服务页面的旧版页签,单击开通的EIAM实例右侧操作列的管理。
- 在左侧导航栏,选择。
- 定位到已创建的SAML应用,单击右侧操作列的添加应用。
您可以在搜索框搜索SAML,快速查找到SAML应用。
- 在添加应用(SAML)面板,单击添加SigningKey。然后在添加SigningKey面板,设置相关信息创建一个SAML应用。设置完成后,单击提交。
- 在添加应用(SAML)面板,单击已添加的SAML应用右侧操作列的选择。参考如下关键配置项说明设置相关参数,设置完成后,单击提交。
| 配置项 |
说明 |
示例值 |
| 应用名称 |
应用的名称。 |
SAML_test123 |
| IDP IdentityId |
身份源的认证参数,需要您自定义。 |
test |
| SP Entity ID |
固定值。 |
https://saml-csas.aliyuncs.com/saml/metadata |
| SP ACS URL(SSO Location) |
固定值。 |
https://saml-csas.aliyuncs.com/saml/acs |
| NameIdFormat |
名称ID格式,需要您选择ID的格式。 |
farmat**** |
| Binding |
身份源调用第三方应用SP提供的ACS URL的方式。不需要重新设置,保持默认配置POST。
|
POST |
| Assertion Attribute |
断言属性。配置后,会将值放入SAML断言中。名称为自定义名称,值为账户的属性值。您必须要配置的断言属性如下:
说明 断言属性需要与SASE的身份源管理中单身份源IDaaS类型的属性配置默认字段保持一致。
|
- 账户名称:username
- 邮箱:email
- 手机号:telephone
|
| 账户关联方式 |
- 账户关联:系统按主子账户对应关系进行手动关联,用户添加后需要管理员审批。
- 账户映射:系统自动将主账户名称或指定的字段映射为应用的子账户。
|
账户映射 |
- 应用添加成功后,在弹出的对话框单击立即授权。
- 在应用授权页面的应用授权主体页签,选择已创建的SAML应用(SAML_test123),然后对账户授权。完成后,单击保存。
步骤三:获取元配置文件和API信息
按照以下步骤获取元配置文件和API信息,该数据用于创建IDaaS身份管理。
- 使用管理员账号登录应用身份管理身控制台。在左侧导航栏,单击EIAM云身份服务。
- 在EIAM云身份服务页面的旧版页签,单击开通的EIAM实例右侧操作列的管理。
- 在左侧导航栏,选择。在应用列表页面,展开已创建的SAML应用(SAML_test123)右侧操作列的详情。
- 在应用信息区域,单击查看详情。
- 在右侧应用详情(SAML)面板,单击导出IDaaS SAML元配置文件。
- 在应用列表页面的API区域,开启API开关,将API Key和API Secret的值保存到本地。
步骤四:建立办公安全平台与应用身份服务的连接
创建应用身份服务身份管理,建立办公安全平台与应用身份服务的连接。
- 登录办公安全平台控制台。在左侧导航栏,选择。
- 在身份源管理页面,单击添加身份源。
- 在添加身份源面板,设置认证类型为单身份源、身份源为IDaaS,参考如下关键配置项说明设置相关参数。然后单击确定。
| 配置项 |
说明 |
示例值 |
| 身份源配置状态 |
- 已启用:如果您当前没有开启的身份源时,选择启用后,您创建的IDaaS配置是开启状态;如果您当前存在已开启的身份源时,您需要先关闭已开启的身份源,然后再开启您新创建的身份源。
- 已禁用:您可以先禁用新创建的身份源,稍后开启。
|
启用 |
| 配置名称 |
自定义配置的名称。长度为2~100个字符,支持输入汉字与字母、数字、下划线(_)和短划线(-)。 |
test123 |
| 描述 |
该配置的描述信息。
该描述会作为登录标题显示在SASE客户端界面,方便您登录时知晓身份源信息。
|
IDaaS登录 |
| SAML元配置文件 |
关于如何获取该文件,请参见步骤三:获取元配置文件和API信息。
|
无 |
| 授权读取部门结构 |
用于获取企业目录结构列表,您配置该参数用于按照目录列表批量下发安全策略。关于如何获取API Key和API Secret,请参见步骤三:获取元配置文件和API信息。
|
- API Key:dingwjlht8b93ara****
- API Secret:1Uji1mEjhmWq_SmE0KNScspYk0bBgDrlZ95vUTR-bn4FbfeVQQKNr1_1giWA****
|
(可选)步骤五:开启用户登录短信认证
开启短信认证后,企业用户登录办公安全平台客户端时,需要完成短信认证。如果您不需要短信认证,请跳过该步骤。
- 登录应用身份管理身控制台。在左侧导航栏,单击EIAM云身份服务。
- 在EIAM实例列表页面,定位到目标实例,单击用户登录页地址。然后在登录页面,输入创建的应用身份服务账户和密码。
- 在短信认证页面,输入收到的短信认证码。
- 在IDaaS统一认证身份平台的左侧导航栏,选择。
- 在二次认证页签,打开是否开启开关、设置登录认证方式为短信认证码认证。然后单击保存。
步骤六:查看连接是否建立成功
- 打开您已下载的办公安全平台客户端。
- 在欢迎登录云安全访问服务页面,输入企业认证标识,然后单击确定。
您可以在办公安全平台的设置页面,获取企业认证标识。
- 可选:如果已开启用户登录短信认证,在短信认证页面,需要输入您收到的认证码。
- 使用应用身份服务用户账号和密码登录。
登录成功后,当防护状态显示已开启,表示连接已经建立成功。