AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页

通过浏览器无客户端访问内网应用

更新时间:
复制为 MD 格式
产品详情
我的收藏

本文档介绍如何在不安装SASE客户端的情况下通过浏览器访问企业内网应用。

适用场景

外部供应商或移动办公用户需通过浏览器安全访问企业内部应用,无需安装客户端。

前提条件

CNAME代理方式,您需要将自定义代理域名的CNAME解析到SASE的接入点域名中。

实现方式

SASE提供两种代理模式以支持内网域名的无客户端访问,请根据实际需求选择适合的模式。

代理方式

原理

优点

缺点

域名映射

SASE提供一个新的代理域名。企业员工可以使用该域名访问内网应用。

独立新域名,不影响原来的访问逻辑。

由于访问域名的变化,可能会导致以下几种问题。

  • 跨域调用限制: 如果调用了其他应用的API,则在对应的应用上需要新增加CORS策略,允许无客户端域名进行访问。

  • SSO登录失败:比如对接了钉钉的SSO,则需要将新的无客户端代理域名添加到钉钉应用的回调地址中。

  • 二级域名cookie不生效:如果企业内部的SSO会在企业的二级域名上设置cookie,来实现不同应用间的身份打通,则建议使用CNAME方式,新申请一个域名来进行无客户端访问。

CNAME

使用企业申请的域名,并CNAME解析到SASE的网关上,企业员工使用该域名访问内网应用。

可以复用内网域名。

配置流程更复杂:

  • 需要企业将自定义代理域名CNAME解析到SASE的接入点域名中。

  • 需要企业有内网DNS服务。

  • 需要上传SSL证书。

步骤一:创建应用

  2. 在左侧导航栏选择内网访问 > 应用管理

  3. 您需要判断是否使用自定义代理域名来选择代理模式。

    域名映射代理模式

    使用SASE提供一个新的代理域名。企业员工可以使用该域名访问内网应用。

    1. 单击添加应用,在手动配置 > 基础配置配置项中输入应用名称并勾选浏览器访问,然后单击下一步

    2. 应用地址配置项中,配置应用地址端口协议代理域名(SaaS代理网关)设置映射域名等,配置域名映射代理模式。

      代理域名(SaaS代理网关)中选择域名映射,SASE会生成新的域名映射到原有的应用地址,员工通过新域名访问原有的应用。在浏览器访问配置区域,根据需要勾选HTML内网域名重写JS内网请求重写匿名访问

    CNAME代理模式

    使用企业申请的域名,并CNAME解析到SASE的网关上,企业员工使用该域名访问内网应用。

    1. 在页面右上角,单击证书管理。并上传企业SSL证书及私钥托管在SASE控制台。

    2. 单击添加应用,在手动配置 > 基础配置配置项中输入应用名称并勾选浏览器访问,然后单击下一步

    3. 应用地址配置项中,配置应用地址端口协议代理域名(SaaS代理网关)选择CNAME并设置企业自定义的代理域名等,了解如何配置CNAME代理模式。

      配置示例:端口填写3001协议选择HTTPS协议自定义代理域名填写app.sase-test.com,并将该域名CNAME解析到接入点域名(如xxx.cloudsecsase.com)。同时配置私网DNSDNS服务器地址,以及在SSL证书中选择对应证书。

  4. 如果您的应用满足以下条件,您可以单击确定,完成应用创建。若不满足条件,请参考浏览器访问配置高级设置

    • 未接入单点登录SSO。

    • 未限制访问应用的域名。

    • 应用内不存在指向其他内网地址的链接。

    • 应用前端未向其他内网应用发起跨域请求。

    浏览器访问配置

    若应用中包含内网地址链接或需向其他内网应用发起跨域请求,在有客户端的情况下,因内网已打通,可正常访问。而在无客户端场景下,由于无法直接访问其他内网应用,需对相关链接进行改写以确保无客户端访问的正常进行。

    配置HTML改写

    1. 勾选HTML内网域名重写。如果应用中包含的其他内网应用已经配置了代理域名,SASE会扫描所有链接并自动进行替换代理域名。

    2. 对于以下情况,SASE网关无法自动识别,需要指定重写前后地址,SASE会替换代理域名。

      <script>
  //js变量声明一个url,此时SASE网关无法自动识别到该链接,需要指定替换规则
  const url = "https://www.a.com/"
  //将url赋值给window.href
  window.href = url
</script>

      勾选HTML内网域名重写,在重写前地址中填入 www.a.com,在重写后地址中填入 www.b.com

    配置JS改写

    勾选JS内网请求重写。如果应用的前端JS代码向其他内网应用发起跨域请求,会自动替换请求地址。

    配置匿名访问

    勾选匿名访问,并配置指定IPIP段对指定内网访问路径不校验身份和零信任策略,直接放行。

    高级配置

    您可以通过配置网关请求改写参数,将无客户端请求中的HeadersQuery参数改写为配置值,作为无客户端的访问标识,方便后期分析。

    高级设置中配置Headers 改写:类型选择请求头,操作选择添加,参数名填写source,参数值填写agent。配置Query 参数改写:操作选择添加,参数名填写name,参数值选择用户名

  5. 配置完成后,单击确定。配置生效大约需要2分钟。

步骤二:配置零信任策略

配置零信任策略可以确保只有经过身份验证的用户能够通过浏览器访问无客户端应用,从而提高安全性。

  1. 在左侧导航栏选择内网访问 > 零信任策略

  2. 单击添加策略,在新增策略面板中配置生效用户和应用。

    说明

    无客户端应用不支持配置安全基线和触发模板。

    表单还包含策略名称(示例为"无端访问零信任策略")、描述优先级(范围1~50,不能以0开头)和动作(示例为允许访问,可通过开关控制)等字段。示例中生效用户添加"人事部",已选应用添加"app1-无端"。配置完成后单击确定

  3. 单击确定

步骤三:配置验证

  1. 在测试机器上,对代理域名进行连通性测试。确保代理域名已经解析到SASE的接入点。

  2. 通过浏览器访问代理域名,查看是否能够正常访问内网应用。

    说明

    首次通过浏览器访问会重定向到登录页面。

    • 域名映射模式:在应用列表中复制代理地址。

    • CNAME代理模式:使用自定义代理域名访问。

其他操作

对于启用了钉钉身份源的用户,您可以参考通过办公安全平台保障钉钉用户安全访问。创建网页应用,将无客户端应用代理域名配置到应用首页地址中,并配置生效用户。通过此配置,钉钉用户无需再次输入登录信息即可访问应用。

上一篇:网络准入最佳实践下一篇:全球办公加速最佳实践