身份认证最佳实践

本文介绍如何将企业已有身份认证源(如RAM、AD、LDAP、IDaaS等)的用户集成至堡垒机,以实现企业人员统一管理。

背景信息

对于用户规模相对庞大、复杂的企业,管理人员为了提高用户管理效率,通常会集成不同业务系统的身份认证,实现企业人员统一管理。堡垒机作为企业统一运维管控平台,能够灵活地适配企业的多种用户身份认证源,从而大幅降低用户管理成本。

解决方案

阿里云堡垒机作为运维安全的统一管控平台,支持对接多种身份认证来源用户,包括自建用户、同步RAM/AD/LDAP用户、以及通过与IDaaS(应用身份认证服务)联动对接更多种身份认证用户。例如,您可以将钉钉用户、Azure AD用户等同步至IDaaS中的EIAM实例,再将账户推送至堡垒机,从而实现多种三方身份认证来源用户通过登录堡垒机运维门户访问服务器。

说明
  • IDaaS用户暂不支持通过密码认证方式使用客户端工具登录堡垒机进行资产运维,可以通过运维令牌认证方式使用客户端工具进行运维,或者通过运维门户进行运维。具体操作,请参见运维使用手册

  • 关于可绑定至IDaaS的身份认证源,请参见身份提供方。如果身份认证的来源超出目前支持的身份认证方,您可以在建立IDaaS账户后,开通AWS、堡垒机等应用的单点登录(SSO)。配置应用SSO,请参见开通应用

将企业已有身份认证源的用户集成至堡垒机

导入RAM用户

  1. 登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。

  2. 在堡垒机实例列表,定位到目标实例,单击管理

  3. 在左侧导航栏,选择人员管理 > 用户

  4. 用户页面,单击导入RAM用户

  5. 可选:如果您还未创建RAM用户,您可以在导入RAM用户页面,单击新建RAM用户,根据页面提示新建RAM用户。

    新建RAM用户的具体操作,请参见创建RAM用户

  6. 导入RAM用户页面,在目标RAM用户的操作列单击导入,导入单个RAM用户;或者同时选中多个RAM用户后单击导入,批量导入多个RAM用户。

    说明

    如果需要为RAM用户设置双因子认证,您可以登录RAM访问控制台,设置RAM用户的多因素认证MFA(Multi Factor Authentication)。具体操作,请参见为阿里云账号绑定MFA设备

新建本地用户

  1. 登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。

  2. 在堡垒机实例列表,定位到目标实例,单击管理

  3. 在左侧导航栏,选择人员管理 > 用户

  4. 用户页面,参考下表,新增单个用户或从文件导入多个用户。

    适用场景

    操作说明

    新增单个本地用户

    1. 选择导入其他来源用户 > 新增用户

    2. 新增用户面板,配置用户信息,单击创建

      配置用户信息需将认证方式选择为本地认证,除配置基础信息外,您还可以进行以下操作。

      • 开启本地用户在下次登录时必须重置密码:勾选后,强制本地用户下一次登录时修改密码。该功能仅针对本地用户可用。

      • 设置有效期:设置有效期限后,在用户列表的状态列,未在有效期内的用户状态会显示为已过期,且用户无法登录堡垒机进行运维操作。

      • 配置双因子认证方式:开启后,用户登录堡垒机时,通过密码认证之后,还需要通过短信、邮件或钉钉工作消息通知发送动态验证码进行二次认证,降低安全风险。

        说明
        • 开启双因子认证后,用户在登录时,必须使用手机号码或邮箱接收验证码进行验证,请确保填写的手机号码或邮箱地址无误。堡垒机短信双因子认证支持的国家和地区,请参见堡垒机短信双因子认证支持的国家和地区

        • 您填写的手机号和邮箱仅用于接收验证码或告警信息,不用于其他用途。

        双因子认证方式包括以下两种类型:

        • 选择全局配置,表示当前用户采用全局的双因子认证方式,即您在系统设置中配置的双因子认证方式。具体操作,请参见开启双因子认证

        • 选择单个用户配置,表示您需要对当前用户单独设置双因子认证方式。堡垒机支持设置以下双因子认证方式:

          • 不开启双因子认证:表示不开启双因子认证功能。

          • 手机短信双因子认证:表示使用当前用户的手机短信进行二次认证。此时您必须为该用户设置手机号码。

          • 邮箱双因子认证:表示使用当前用户的邮箱进行二次认证。此时您必须为该用户设置邮箱地址。

          • 钉钉双因子认证:表示使用当前用户的钉钉进行二次认证。此时您必须为该用户设置手机号码。

            说明

            如果您需要启用钉钉认证,请确保已符合以下要求:

            • 已为需要进行运维操作的用户账号添加手机号。为用户添加手机号的具体操作,请参见修改本地用户基本信息

            • 钉钉管理员已创建企业内部应用,并且为应用开通根据手机号姓名获取成员信息的接口访问权限

            • 已获取企业内部应用的AppKeyAppSecretAgentId

          • 手机OTP令牌认证:表示使用当前用户的手机OTP令牌进行认证,用户需要先绑定手机OTP令牌。

            说明

            选择该认证方式,您需先下载标准TOTP认证软件,例如阿里云App等,再通过公网地址登录堡垒机运维门户,在左侧导航栏单击安全设置,然后单击手机OTP令牌页签,单击设置令牌,自助扫描二维码,绑定OTP令牌认证。有关获取堡垒机运维地址的更多信息,请参见堡垒机页面概览

          • 国密USBKEY:表示使用国密USBKEY进行登录认证,用户需要先绑定USBKEY证书,具体操作,请参见绑定USBKEY证书

        • 配置双因子通知发送语言

          • 选择全局配置,表示当前用户采用在系统设置中配置的双因子通知发送语言。具体操作,请参见开启双因子认证

          • 选择单个用户配置:支持选择双因子使用简体中文English语言发送通知。

    批量从文件导入用户

    1. 选择导入其他来源用户列表中,选择从文件导入本地用户

    2. 单击下载用户模板文件,下载用户模板文件到本地,在用户模板文件录入用户信息并保存。

    3. 导入本地用户面板,单击点击上传,上传用户模板文件。

    4. 导入用户预览对话框,选择需要导入的用户,单击导入

    5. 导入本地用户面板,确认用户信息,单击导入本地用户

      选中本地用户在下次登录时必须重置密码,表示导入的所有用户在下一次登录时都要重置密码。

    说明

    如果导入用户中存在与文件中用户或系统中已有用户的用户名重复的情况,用户名重复的用户将不会被导入。您可以在导入本地用户面板上单击详情,查看未被导入的用户。

  5. 可选:如需堡垒机发送消息通知用户运维地址,需要为本地用户设置手机号或者邮箱(至少其中一项)后,勾选通知用户运维地址

导入AD/LDAP用户

导入AD或LDAP用户前,请确保您已经配置了AD或LDAP认证。具体操作,请参见配置AD或LDAP认证

  1. 登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。

  2. 在堡垒机实例列表,定位到目标实例,单击管理

  3. 在左侧导航栏,选择人员管理 > 用户

  4. 选择导入其他来源用户 > 导入AD用户导入LDAP用户

  5. 导入AD用户导入LDAP用户页面,定位到目标用户,在操作列单击导入

    您可以选中多个用户进行批量导入。

导入IDaaS用户

导入IDaaS用户前,请确保您已经配置了IDaaS认证。具体操作,请参见管理IDaaS认证

重要

IDaaS用户暂不支持通过密码认证方式使用客户端工具登录堡垒机进行资产运维,可以通过运维令牌认证方式使用客户端工具进行运维,或者通过运维门户进行运维。具体操作,请参见运维使用手册

  1. 登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。

  2. 在堡垒机实例列表,定位到目标实例,单击管理

  3. 在左侧导航栏,选择人员管理 > 用户

  4. 选择导入其他来源用户 > 导入IDaaS用户

  5. 导入IDaaS用户页面,定位到目标用户,在操作列单击导入

    您可以选中多个用户进行批量导入。如果没有显示IDaaS用户,请您单击立即同步