建立办公安全平台SASE(Secure Access Service Edge)与应用身份服务(IDaaS)(Identity as a Service)的连接,使您的企业用户直接以应用身份服务账号登录办公安全平台,方便您在办公安全平台管控企业用户的访问权限,从而保障企业的办公数据安全。本文介绍如何建立办公安全平台与应用身份服务的连接。
应用场景
SASE帮助您管控企业员工的内网访问权限、互联网访问权限,以及保护企业办公数据,满足企业对日常办公安全的需求。当您已经使用IDaaS管理企业的用户信息,此时,您可以通过SASE与IDaaS的连接,实现企业用户直接使用IDaaS账号登录SASE客户端,无需再维护一套SASE的身份管理系统,为您降低用户信息的维护成本。
前提条件
操作流程
步骤一:获取SP Entity ID和SP ACS URL信息
建立SASE与IDaaS连接之前,您需要先获取SP Entity ID和SP ACS URL信息,用于创建SAML应用。获取SP Entity ID和SP ACS URL信息有两种方式。
SP Entity ID和SP ACS URL是固定值,您可以保存如下固定值:
SP Entity ID:https://saml-csas.aliyuncs.com/saml/metadata
SP ACS URL:https://saml-csas.aliyuncs.com/saml/acs
您可以SASE控制台获取。
登录办公安全平台控制台。
在左侧导航栏,选择。
在身份同步页签,单击新增身份源。
在新增身份源面板中,选择IDaaS,然后单击开始配置。
在基础配置向导中,IDaaS版本选择旧版后获取SP Entity ID和SP ACS URL信息。
步骤二:创建SAML应用并授权访问应用
创建SAML应用是为了SASE与IDaaS安全域交换认证和数据授权。
开通EIAM实例。具体操作,请参见免费开通实例。
创建SAML应用并授权访问应用。
使用管理员账号登录应用身份管理控制台。在左侧导航栏,单击EIAM云身份服务。
在EIAM云身份服务页面的旧版页签,单击开通的EIAM实例右侧操作列的管理。
在左侧导航栏,选择。
定位到已创建的SAML应用,单击右侧操作列的添加应用。
您可以在搜索框搜索SAML,快速查找到SAML应用。
在添加应用(SAML)面板,单击添加SigningKey。然后在添加SigningKey面板,设置相关信息创建一个SAML应用。设置完成后,单击提交。
在添加应用(SAML)面板,单击已添加的SAML应用右侧操作列的选择。参考如下关键配置项说明设置相关参数,设置完成后,单击提交。
配置项
说明
示例值
应用名称
应用的名称。
SAML_test123
IDaaS IdentityId
身份源的认证参数,需要您自定义。
test
SP Entity ID
固定值。
https://saml-csas.aliyuncs.com/saml/metadata
SP ACS URL(SSO Location)
固定值。
https://saml-csas.aliyuncs.com/saml/acs
NameIdFormat
名称ID格式,需要您选择ID的格式。
farmat****
Binding
身份源调用第三方应用SP提供的ACS URL的方式。不需要重新设置,保持默认配置POST。
POST
Assertion Attribute
断言属性。配置后,会将值放入SAML断言中。名称为自定义名称,值为账户的属性值。您必须要配置的断言属性如下:
账户名称
邮箱
手机号
说明断言属性需要与SASE的身份源管理中单身份源IDaaS类型的属性配置默认字段保持一致。
账户名称:username
邮箱:email
手机号:telephone
账户关联方式
账户关联:系统按主子账户对应关系进行手动关联,用户添加后需要管理员审批。
账户映射:系统自动将主账户名称或指定的字段映射为应用的子账户。
账户映射
应用添加成功后,在弹出的对话框单击立即授权。
在应用授权页面的应用授权主体页签,选择已创建的SAML应用(SAML_test123),然后对账户授权。完成后,单击保存。
步骤三:获取元配置文件和API信息
按照以下步骤获取元配置文件和API信息,该数据用于创建IDaaS身份管理。
使用管理员账号登录应用身份管理控制台。在左侧导航栏,单击EIAM云身份服务。
在EIAM云身份服务页面的旧版页签,单击开通的EIAM实例右侧操作列的管理。
在左侧导航栏,选择。在应用列表页面,展开已创建的SAML应用(SAML_test123)右侧操作列的详情。
在应用信息区域,单击查看详情。
在右侧应用详情(SAML)面板,单击导出IDaaS SAML元配置文件。
在应用列表页面的API区域,开启API开关,将API Key和API Secret的值保存到本地。
步骤四:建立办公安全平台与IDaaS的连接
创建IDaaS身份管理,建立SASE与IDaaS的连接。
登录办公安全平台控制台。
在左侧导航栏,选择。
在身份同步页签,单击新增身份源。
在新增身份源面板中,选择IDaaS,然后单击开始配置。
在基础配置向导中,参考如下关键配置项说明设置相关参数。然后单击确定。
配置项
说明
示例值
身份源名称
IDaaS配置的名称。
长度为2~100个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。
test123
描述
该配置的描述信息。
该描述会作为登录标题显示在SASE客户端界面,方便您登录时知晓身份源信息。
IDaaS登录
身份源状态
根据需要配置身份源状态。取值:
已开启:创建成功后开启身份源开关。
已关闭:创建成功后关闭身份源开关。
重要关闭身份源开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。
已开启
IDaaS版本
选择IDaaS版本。
旧版
配置名称
自定义配置的名称。长度为2~100个字符,支持输入汉字与字母、数字、下划线(_)和短划线(-)。
test123
SAML元配置文件
关于如何获取该文件,请参见步骤三:获取元配置文件和API信息。
无
授权读取部门结构
根据需要授权读取部门结构的权限。取值:
是:请输入IDaaS的API相关信息,用以获取企业目录结构列表,需要设置API Key和API Secret,并设置自动同步相关功能。
说明配置后您可以按照目录列表批量下发安全策略。在下发安全策略时,系统不会读取您的员工信息。
自动同步:开启自动同步开关后,系统将自动根据同步模式从IDaaS同步相关信息。
如果您未开启自动同步,需要手动同步组织架构,具体操作,请参见查看同步记录。
同步员工信息:开启同步员工信息开关后,系统将根据自动同步周期,自动从企业微信同步员工信息。
说明若未开启自动同步功能,则不执行同步员工信息功能。
自动同步周期:设置自动同步周期,支持设置每1小时-每24小时自动同步一次。
否:表示不授权读取部门结构。
关于如何获取API Key和API Secret,请参见步骤三:获取元配置文件和API信息。
API Key:dingwjlht8b93ara****
API Secret:1Uji1mEjhmWq_SmE0KNScspYk0bBgDrlZ95vUTR-bn4FbfeVQQKNr1_1giWA****
如果您在配置授权读取部门结构时选择否,单击确认,即可完成配置。
若您选择是,可以单击连通性测试,测试成功后,单击确认,完成配置。
步骤五:查看连接是否建立成功
打开您已安装的SASE App。
输入企业认证标识,然后单击确认。
您可以登录办公安全平台控制台。在左侧导航栏的设置页面,获取企业认证标识。
可选:支持通过移动端App扫码登录。
使用IDaaS用户账号和密码登录。
登录成功后,表示您已成功建立SASE与IDaaS的连接。