AI 助理
备案控制台
文档
输入文档关键字查找
首页 办公安全平台 实践教程 身份接入最佳实践 通过办公安全平台保障IDaaS(新版)用户安全访问

通过办公安全平台保障IDaaS(新版)用户安全访问

更新时间:
产品详情
我的收藏

建立办公安全平台SASE(Secure Access Service Edge)与应用身份服务IDaaS(Alibaba Cloud IDentity as a Service)的连接,使您的企业用户直接以应用身份服务账号登录办公安全平台,方便您在办公安全平台管控企业用户的访问权限,从而保障企业的办公数据安全。本文介绍如何建立办公安全平台与应用身份服务的连接。

应用场景

SASE帮助您管控企业员工的内网访问权限、互联网访问权限,以及保护企业办公数据,满足企业对日常办公安全的需求。当您已经使用IDaaS管理企业的部门结构及用户信息,此时,您可以通过SASEIDaaS连接,实现企业用户直接使用IDaaS账号登录SASE客户端,无需再维护一套SASE身份管理系统,为您降低用户信息的维护成本。

前提条件

  • 已开通SASE服务并安装SASE客户端。具体操作,请参见办公安全平台计费概述

  • 已开通IDaaS服务并创建EIAM云身份服务新版实例。具体操作,请参见免费开通实例

  • 已为EIAM云身份服务新版实例添加阿里云SASE应用。具体操作,请参见创建应用

    创建阿里云SASE应用时,IDaaS默认启用单点登录,应用账户为IDaaS账户名、授权范围为手动授权,自动生成SAML元配置文件。您也可以根据实际业务进行修改。

    如果您需要SASE获取创建在IDaaS上的企业部门结构列表,以便按照部门结构批量下发安全策略,需要在应用身份管理控制台上配置阿里云SASE应用的通用配置、账户同步和API开放信息。具体操作,请参见基本配置账户同步-事件回调应用 API 开放

    配置API开放信息时,您需要开通查询账户信息查询组织信息权限,否则SASE无法获取您的企业部门结构列表。

    说明

    办公安全平台控制台添加IDaaS身份源面板获取同步接收地址用于您配置账户同步信息。

前提条件配置完成后,您需要保存如下信息:

  • SAML元配置文件:创建阿里云SASE应用(单点登录页签)时IDaaS为您自动生成的。

  • 实例ID:创建的EIAM云身份服务新版实例ID。

  • 应用ID:为EIAM云身份服务新版实例添加的阿里云SASE应用ID。

  • client_id(接口鉴权ID):创建阿里云SASE应用(通用配置页签)时IDaaS为您自动生成的。

  • client_secret(接口鉴权密钥):创建阿里云SASE应用(通用配置页签)时IDaaS为您自动生成的。

  • 验签公钥端点链接:创建阿里云SASE应用(账户同步页签)时IDaaS为您自动生成的。

  • 加解密钥:创建阿里云SASE应用(账户同步页签)时IDaaS为您自动生成的。

步骤一:建立SASEIDaaS的连接

创建IDaaS身份源,建立SASEIDaaS的连接。

  1. 登录办公安全平台控制台。在左侧导航栏,选择身份认证管理>身份接入

  2. 身份源管理页签,单击添加身份源

  3. 添加身份源面板,设置认证类型单身份源企业身份源IDaaS,在新版页签下设置如下参数。然后单击确定

    配置项

    说明

    示例值

    配置名称

    IDaaS身份源配置的名称。

    长度为2~100个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。

    IDaaS_test

    描述

    该配置的描述信息。

    该描述会作为登录标题显示在SASE 客户端界面,方便您登录时知晓身份源信息。

    IDaaS身份源登录

    SAML元配置文件

    上传SAML元配置文件。

    授权读取部门结构

    根据需要授权读取部门结构的权限。取值:

    • :请输入IDaaS的阿里云SASE应用相关信息,用以获取企业目录结构列表,需要设置如下字段:

      • 实例ID

      • 应用ID

      • client_id

      • client_secret

      • 验签公钥端点链接

      • 加解密钥

        说明

        配置后您可以按照目录列表批量下发安全策略。在下发安全策略时,系统不会读取您的员工信息。

    • :表示不授权读取部门结构。

    授权读取部门结构:是

    • 实例ID:idaas_gzcsi7qu2pyhxqjtibzmeh****

    • 应用ID:app_mkhn54lnexe6hitkzl7a2m****

    • client_id:app_mkhn54lnexe6hitkzl7a2m****

    • client_secret:CSCb****************************************qk

    • 验签公钥端点链接:https://eiam-api-cn-hangzhou.aliyuncs.com/v2/idaas_ulr2tayafld4gkx7tcdx6cv6mi/app_msl63usakau653bj2r5qvafadq/provisioning/****

    • 加解密钥:0797d3ec35c49472ca4d7ccc8ef0375948cf123e9cd6882333a2a0778773****

    身份源配置状态

    根据需要设置配置状态。取值:

    • 已启用:如果当前没有启用其他身份源,您可以直接开启创建的身份源。

    • 已禁用:如果当前存在已启用其他身份源,您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后,再开启新创建的身份源。

      重要

      关闭身份源配置状态开关,会导致终端用户使用SASE客户端无法访问内网应用。请谨慎操作。

    已启用

步骤二:查看连接是否建立成功

  1. 打开您已下载的SASE客户端。

  2. 登录SASE客户端页面,输入企业认证标识,然后单击确定

    您可以在SASE设置页面,获取企业认证标识。具体操作,请参见设置

  3. 在弹出的IDaaS登录界面,输入IDaaS的用户账号和密码,单击登录

    image.png

    登录成功后,单击连接内网,当内网访问已安全连接,表示您已成功建立SASEIDaaS的连接。

    image.png

上一篇:如何快速搭建安全的内网办公环境下一篇:通过办公安全平台保障IDaaS(旧版)用户安全访问
文档推荐