通过办公安全平台保障IDaaS(旧版)用户安全访问

建立办公安全平台SASE(Secure Access Service Edge)与应用身份服务IDaaS(Alibaba Cloud IDentity as a Service)的连接,使您的企业用户直接以应用身份服务账号登录办公安全平台,方便您在办公安全平台管控企业用户的访问权限,从而保障企业的办公数据安全。本文介绍如何建立办公安全平台与应用身份服务的连接。

应用场景

办公安全平台帮助您管控企业员工的内网访问权限、互联网访问权限,以及保护企业办公数据,满足企业对日常办公安全的需求。当您已经使用应用身份服务管理企业的用户信息,此时,您可以通过办公安全平台应用身份服务的连接,实现企业用户直接使用应用身份服务账号登录办公安全平台客户端,无需再维护一套办公安全平台的身份管理系统,为您降低用户信息的维护成本。

前提条件

操作流程

image

步骤一:获取SP Entity ID和SP ACS URL信息

建立办公安全平台应用身份服务连接之前,您需要先获取SP Entity IDSP ACS URL信息,用于创建SAML应用。SP Entity IDSP ACS URL是固定值,您可以保存如下固定值:

  • SP Entity ID:https://saml-csas.aliyuncs.com/saml/metadata

  • SP ACS URL:https://saml-csas.aliyuncs.com/saml/acs

您可以在办公安全平台控制台的身份接入页面,添加身份源信息时设置身份源IDaas,获取SP Entity IDSP ACS URL信息。

步骤二:创建SAML应用并授权访问应用

创建SAML应用是为了办公安全平台应用身份服务安全域交换认证和数据授权。

  1. 开通EIAM实例。具体操作,请参见免费开通实例

  2. 创建SAML应用并授权访问应用。

    1. 使用管理员账号登录应用身份管理控制台。在左侧导航栏,单击EIAM云身份服务

    2. EIAM云身份服务页面的旧版页签,单击开通的EIAM实例右侧操作列的管理

    3. 在左侧导航栏,选择应用 > 添加应用

    4. 定位到已创建的SAML应用,单击右侧操作列的添加应用

      您可以在搜索框搜索SAML,快速查找到SAML应用。

    5. 添加应用(SAML)面板,单击添加SigningKey。然后在添加SigningKey面板,设置相关信息创建一个SAML应用。设置完成后,单击提交

    6. 添加应用(SAML)面板,单击已添加的SAML应用右侧操作列的选择。参考如下关键配置项说明设置相关参数,设置完成后,单击提交

      配置项

      说明

      示例值

      应用名称

      应用的名称。

      SAML_test123

      IDaaS IdentityId

      身份源的认证参数,需要您自定义。

      test

      SP Entity ID

      固定值。

      https://saml-csas.aliyuncs.com/saml/metadata

      SP ACS URL(SSO Location)

      固定值。

      https://saml-csas.aliyuncs.com/saml/acs

      NameIdFormat

      名称ID格式,需要您选择ID的格式。

      farmat****

      Binding

      身份源调用第三方应用SP提供的ACS URL的方式。不需要重新设置,保持默认配置POST

      POST

      Assertion Attribute

      断言属性。配置后,会将值放入SAML断言中。名称为自定义名称,值为账户的属性值。您必须要配置的断言属性如下:

      • 账户名称

      • 邮箱

      • 手机号

      说明

      断言属性需要与SASE身份源管理中单身份源IDaaS类型的属性配置默认字段保持一致。

      • 账户名称:username

      • 邮箱:email

      • 手机号:telephone

      账户关联方式

      • 账户关联:系统按主子账户对应关系进行手动关联,用户添加后需要管理员审批。

      • 账户映射:系统自动将主账户名称或指定的字段映射为应用的子账户。

      账户映射

    7. 应用添加成功后,在弹出的对话框单击立即授权

    8. 应用授权页面的应用授权主体页签,选择已创建的SAML应用(SAML_test123),然后对账户授权。完成后,单击保存

步骤三:获取元配置文件和API信息

按照以下步骤获取元配置文件和API信息,该数据用于创建IDaaS身份管理。

  1. 使用管理员账号登录应用身份管理控制台。在左侧导航栏,单击EIAM云身份服务

  2. EIAM云身份服务页面的旧版页签,单击开通的EIAM实例右侧操作列的管理

  3. 在左侧导航栏,选择应用 > 应用列表。在应用列表页面,展开已创建的SAML应用(SAML_test123)右侧操作列的详情

  4. 应用信息区域,单击查看详情

  5. 在右侧应用详情(SAML)面板,单击导出IDaaS SAML元配置文件

  6. 应用列表页面的API区域,开启API开关,将API KeyAPI Secret的值保存到本地。

步骤四:建立办公安全平台应用身份服务的连接

创建应用身份服务身份管理,建立办公安全平台应用身份服务的连接。

  1. 登录办公安全平台控制台。在左侧导航栏,选择身份认证管理 > 身份接入

  2. 身份源管理页签,单击添加身份源

  3. 添加身份源面板,设置认证类型单身份源身份源IDaaS,参考如下关键配置项说明设置相关参数。然后单击确定

    配置项

    说明

    示例值

    身份源配置状态

    • 已启用:如果您当前没有开启的身份源时,选择启用后,您创建的IDaaS配置是开启状态;如果您当前存在已开启的身份源时,您需要先关闭已开启的身份源,然后再开启您新创建的身份源。

      说明

      只支持在同一时段开启一个身份源。

    • 已禁用:您可以先禁用新创建的身份源,稍后开启。

    启用

    配置名称

    自定义配置的名称。长度为2~100个字符,支持输入汉字与字母、数字、下划线(_)和短划线(-)。

    test123

    描述

    该配置的描述信息。

    该描述会作为登录标题显示在SASE客户端界面,方便您登录时知晓身份源信息。

    IDaaS登录

    SAML元配置文件

    关于如何获取该文件,请参见步骤三:获取元配置文件和API信息

    授权读取部门结构

    用于获取企业目录结构列表,您配置该参数用于按照目录列表批量下发安全策略。关于如何获取API KeyAPI Secret,请参见步骤三:获取元配置文件和API信息

    • API Key:dingwjlht8b93ara****

    • API Secret:1Uji1mEjhmWq_SmE0KNScspYk0bBgDrlZ95vUTR-bn4FbfeVQQKNr1_1giWA****

步骤五:查看连接是否建立成功

  1. 打开您已下载的办公安全平台客户端。

  2. 欢迎登录云安全访问服务页面,输入企业认证标识,然后单击确定

    您可以在办公安全平台设置页面,获取企业认证标识

  3. 可选:如果已开启用户登录短信认证,在短信认证页面,需要输入您收到的认证码。

  4. 使用应用身份服务用户账号和密码登录。

    若登录成功后,表示连接已经建立成功。