本文以办公安全平台 SASE(Secure Access Service Edge)单点登录应用身份服务 IDaaS(Identity as a Service)应用门户为例,介绍如何端到端地配置SASE单点登录IDaaS集成的业务应用。
办公安全平台通过采用OpenID Connect (OIDC)协议,作为与阿里云IDaaS解决方案之间的桥梁,实现了单点登录(SSO)功能的互联互通。只要企业现有的SSO服务支持OIDC标准,就能够将办公安全平台的账号体系作为身份提供商(IdP),无缝集成到其SSO框架。
场景示例
当前某企业使用IDaaS进行员工身份和应用权限管理,且使用IDaaS完成了内部应用的SSO接入。同时企业接入了SASE服务,保障远程办公接入和办公敏感数据的安全。此时可使用SASE的SSO功能,通过OIDC协议与IDaaS服务打通。以实现企业员工登录SASE App后,能够直接在IDaaS的应用门户使用SASE App身份直接登录内网应用。
前提条件
已购买SASE服务。具体操作,请参见购买服务。
已登录SASE App。具体操作,请参见安装并登录SASE App。
已开通IDaaS服务并创建EIAM云身份服务新版实例。具体操作,请参见免费开通实例。
已在IDaaS服务集成企业所需的业务应用。具体操作,请参见应用开通说明。
操作流程
步骤一:获取IDaaS授权回调地址
登录IDaaS管理控制台。
在EIAM云身份服务页面,单击已创建的实例名称。跳转到该实例的云身份服务控制台。
在左侧导航栏,单击身份提供方。
在身份提供方页面,单击其他身份提供方。
在新增身份提供方面板,单击OIDC身份提供方。
在绑定OIDC身份提供方面板,复制IDaaS授权回调Redirect URI。
建议您不要关闭该页面,步骤三也需要在该页面完成配置。
步骤二:配置SASE SSO策略
登录办公安全平台控制台。
在左侧导航栏,选择
。在单点登录页面,单击添加策略。
在添加策略面板,根据下表配置策略信息。
配置项
说明
示例值
策略名称
策略的名称。
SASE_SSO_test
策略状态
策略的启用状态
置为启用状态
接口访问授权
设置client_id、client_secret。使用单点登录前需启用接口访问,您需要使用client_id、client_secret进行接口授权。
重要请保管好client_secret,一旦怀疑泄露,请删除旧密钥并添加新密钥进行轮转。
client_id:sase_sso
client_secret:1kr6ld066******
登录Redirect URL
填写企业内网应用的URL的redirect_uri参数,目的是将该值加白,方便SASE在认证完成后发起登录请求。
该值即步骤一获取的授权回调Redirect URI。
https://l6v271cn.aliyunidaas.com/login/********
单击确定。
步骤三:为IDaaS实例绑定SASE身份源
在绑定OIDC身份提供方面板,参考下表设置绑定信息。
如果您已经关闭了IDaaS的页面,请参考步骤一的界面入口进入绑定OIDC身份提供方面板。
关于IDaaS产品绑定OIDC身份提供方字段的详细信息,请参见绑定OIDC身份提供方。
配置项
示例值
登录信息
显示名称
SASE
登录配置
认证模式
client_secret_post
Client ID
sase_sso
Client Secret
client_secret:1kr6ld066******
Scopes
openid,external_id
端点配置
Issuer
填写Issuer值后,可以通过解析发现端点,自动获取端点信息。
授权端点
令牌端点
公钥端点
用户信息端点
单击下一步选择场景。
为了方便本次验证,场景选择默认配置。如果需要了解场景的具体说明,请参见选择场景。
单击完成创建。
步骤四:使用SASE SSO访问IDaaS集成的应用
在EIAM云身份服务页面,定位到指定的IDaaS实例,单击用户门户地址。
在用户门户登录页,您可以看到其他登录方式下出现SASE身份源。
单击SASE身份源,登录IDaaS门户。
在我的应用页面,即可访问当前集成在IDaaS的业务应用,无需您再次输入账户名和密码。