建立办公安全平台SASE(Secure Access Service Edge)与应用身份服务(IDaaS)(Identity as a Service)的连接,使您的企业用户直接以应用身份服务账号登录办公安全平台,方便您在办公安全平台管控企业用户的访问权限,从而保障企业的办公数据安全。本文介绍如何建立办公安全平台与应用身份服务的连接。
应用场景
SASE帮助您管控企业员工的内网访问权限、互联网访问权限,以及保护企业办公数据,满足企业对日常办公安全的需求。当您已经使用IDaaS管理企业的部门结构及用户信息,此时,您可以通过SASE与IDaaS连接,实现企业用户直接使用IDaaS账号登录SASE客户端,无需再维护一套SASE身份管理系统,为您降低用户信息的维护成本。
前提条件
已开通办公安全平台,并已安装办公安全平台客户端。具体操作,请参见办公安全平台计费概述
已开通并创建EIAM云身份服务新版实例。具体操作,请参见免费开通实例。
已为EIAM云身份服务新版实例添加阿里云SASE应用。具体操作,请参见创建应用。
创建阿里云SASE应用时,IDaaS默认启用单点登录,应用账户为IDaaS账户名、授权范围为手动授权,自动生成SAML元配置文件。您也可以根据实际业务进行修改。
如果您需要SASE获取创建在IDaaS上的企业部门结构列表,以便按照部门结构批量下发安全策略,需要在应用身份管理控制台上配置阿里云SASE应用的通用配置、账户同步和API开放信息。具体操作,请参见基本配置、账户同步-事件回调、应用 API 开放。
配置API开放信息时,您需要开通查询账户信息和查询组织信息权限,否则SASE无法获取您的企业部门结构列表。
说明在办公安全平台控制台添加IDaaS身份源面板获取同步接收地址用于您配置账户同步信息。
前提条件配置完成后,您需要保存如下信息:
SAML元配置文件:创建阿里云SASE应用(单点登录页签)时IDaaS为您自动生成的。
实例ID:创建的EIAM云身份服务新版实例ID。
应用ID:为EIAM云身份服务新版实例添加的阿里云SASE应用ID。
client_id(接口鉴权ID):创建阿里云SASE应用(通用配置页签)时IDaaS为您自动生成的。
client_secret(接口鉴权密钥):创建阿里云SASE应用(通用配置页签)时IDaaS为您自动生成的。
验签公钥端点链接:创建阿里云SASE应用(账户同步页签)时IDaaS为您自动生成的。
加解密钥:创建阿里云SASE应用(账户同步页签)时IDaaS为您自动生成的。
步骤一:建立SASE与IDaaS的连接
创建IDaaS身份源,建立SASE与IDaaS的连接。
登录办公安全平台控制台。在左侧导航栏,选择。
在身份同步页签,单击新增身份源。
在新增身份源面板中,选择IDaaS,然后单击开始配置。
在基础配置向导中,设置如下参数。然后单击确定。
配置项
说明
示例值
身份源名称
IDaaS身份源配置的名称。
长度为2~100个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。
IDaaS_test
描述
该配置的描述信息。
该描述会作为登录标题显示在SASE 客户端界面,方便您登录时知晓身份源信息。
IDaaS身份源登录
身份源状态
根据需要配置身份源状态。取值:
已开启:创建成功后开启身份源开关。
已关闭:创建成功后关闭身份源开关。
重要关闭身份源开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。
已开启
IDaaS版本
选择IDaaS版本。
新版
区域实例
选择实例所在区域。
国内或海外
SAML元配置文件
上传SAML元配置文件。
无
授权读取部门结构
根据需要授权读取部门结构的权限。取值:
是:请输入IDaaS的阿里云SASE应用相关信息,用以获取企业目录结构列表,需要设置如下字段:
实例ID
应用ID
client_id
client_secret
验签公钥端点链接
加解密钥
说明配置后您可以按照目录列表批量下发安全策略。在下发安全策略时,系统不会读取您的员工信息。
否:表示不授权读取部门结构。
授权读取部门结构:是
实例ID:idaas_gzcsi7qu2pyhxqjtibzmeh****
应用ID:app_mkhn54lnexe6hitkzl7a2m****
client_id:app_mkhn54lnexe6hitkzl7a2m****
client_secret:CSCb****************************************qk
验签公钥端点链接:https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ulr2tayafld4gkx7tcdx6cv6mi/app_msl63usakau653bj2r5qvafadq/provisioning/****
加解密钥:0797d3ec35c49472ca4d7ccc8ef0375948cf123e9cd6882333a2a0778773****
如果您在配置授权读取部门结构时选择否,单击确认,即可完成配置。
若您选择是,可以单击连通性测试,测试成功后,单击下一步。
在同步配置向导中,对组织架构的同步范围及字段映射进行配置,然后单击确认。
配置项
说明
组织架构同步
配置同步组织架构的范围。
全部同步:将新版IDaaS的组织架构全部同步到SASE系统中。
部分同步:选择需要同步的组织架构。
字段同步映射
配置IDaaS组织架构字段与SASE同步字段的映射关系。
说明如果SASE系统内置的映射后本地字段无法满足您的业务需求,您可以单击列表右上方的查看扩展字段,在查看扩展字段面板中对扩展字段进行新增、编辑、删除等操作。
步骤二:查看连接是否建立成功
打开您已安装的SASE App。
输入企业认证标识,然后单击确认。
您可以登录办公安全平台控制台。在左侧导航栏的设置页面,获取企业认证标识。
在弹出的IDaaS登录界面,输入IDaaS的用户账号和密码,单击提交。
登录成功后,表示您已成功建立SASE与IDaaS的连接。