文档

配置身份源

更新时间:

办公安全平台SASE(Secure Access Service Edge)需要结合第三方的账号身份体系来验证用户的动态身份,以确保客户端用户身份合法有效,提升办公环境安全性。本文介绍如何配置单身份源信息和多身份源。

背景信息

SASE以身份驱动下发安全策略,所以在使用SASE之前,您需要完成与企业的身份管理服务对接。完成身份账号系统对接后,管理员可以按照企业组织架构下发安全管控策略。企业用户可使用与企业身份一致的账号体系登录SASE客户端办公。

通过添加身份源配置,您可以将企业内部身份信息导入到SASE,便于后续设置相关策略。

使用限制

身份源功能仅支持在同一时段开启一个身份源(一个单身份源或者一个多身份源)。如果当前存在已启用的身份源,您需要先禁用已启用的身份源,然后再启用您需要的身份源。

身份源介绍

类型

说明

单身份源

配置LDAP单身份源

根据您企业已使用的身份源类型,将其与办公安全平台建立连接,使您的企业用户直接以已有的身份源账号登录办公安全平台,方便您在办公安全平台管控企业用户的访问权限,从而保障企业的办公数据安全。

配置钉钉单身份源

配置飞书单身份源

配置企业微信单身份源

配置IDaaS单身份源

配置自定义单身份源

多身份源

配置多身份源

如果您的业务涉及多种身份源,可以一次性配置多种身份源信息,以便于您以不同的身份源使用SASE服务。

重要

配置多身份源前,您至少已完成2个单身份源的配置。

配置LDAP单身份源

  1. 登录办公安全平台控制台,在左侧导航栏,选择身份管理 > 身份源管理

  2. 单击添加身份源,在单身份源LDAP页签,设置LDAP身份源的服务配置。然后单击下一步

    配置项

    说明

    身份源配置状态

    根据需要启用或者禁用身份源。取值:

    • 已启用:如果当前没有启用其他身份源,您可以直接开启创建的身份源。

    • 已禁用:如果当前存在已启用其他身份源,您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后,再开启新创建的身份源。

      重要

      关闭身份源配置状态开关,会导致终端用户使用SASE客户端无法访问内网应用。请谨慎操作。

    类型选择

    支持的目录类型。取值:

    • Windows AD:Windows的目录服务。

    • OpenLDAP:轻型目录访问协议。

    配置名称

    AD或者LDAP的名称信息,用户自定义。

    长度为2~100个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。

    描述

    该配置的描述信息。

    该描述会作为登录标题显示在SASE客户端,方便您登录时知晓身份源信息。

    服务器地址

    AD或者LDAP服务器地址。

    服务器端口号

    AD或者LDAP服务器的端口号。

    使用SSL连接方式

    AD或者LDAP服务器是否开启SSL连接。取值:

    • :开启SSL连接后,您在AD或者LDAP服务器上的数据会进行加密传输,保证您的数据安全。

    • :表示不开启SSL连接。

    Base DN

    要认证用户的Base DN。当您设置该值后,SASE会认证该节点下所有账户的信息。被认证的账户信息可以登录SASE客户端。该字段的长度为2~100个字符。

    说明

    如果要认证用户与组不在LDAP的同一节点下,那您需要设置高级配置中的用户Base DN组Base DN

    部门结构同步

    输入管理员DN和管理员密码,用于从身份源中获取企业目录结构列表。

    说明

    配置后您可以按照企业目录结构列表批量下发安全策略。在下发安全策略时,系统不会读取您的员工信息。

  3. 设置属性配置,然后单击下一步

    设置属性字段及过滤器,以便您后续管控不同分组下企业用户的访问权限。

    配置项

    说明

    登录用户名属性

    设置登录用户名属性字段,用于统一同一企业用户登录时用户名的形式,您需要在企业内部定义该字段。

    您可以选择LDAP默认的表示用户名属性的字段(包含cnnamegivenNamedisplayNameuserPrincipalNamesAMAccountName),也可以输入LDAP定义的其他字段,用来表示登录用户名属性

    说明

    userPrincipalName是有域后缀,当您选择userPrincipalName作为登录用户名属性时,登录时一定要填写对应的域后缀。例如:user***@aliyundoc.com。

    展示用户名属性

    设置展示用户名属性字段,用于统一同一企业用户在终端设备上展示的用户名形式,您需要在企业内部定义该字段。展示用户名即账户名称。

    您可以选择LDAP默认的表示用户名属性的字段(包含cnnamegivenNamedisplayNameuserPrincipalNamesAMAccountName),也可以输入LDAP定义的其他字段,用来表示展示用户名属性

    组名称属性

    设置组名称属性字段,用于统一同一企业中组名称的形式,您需要在企业内部统一定义该字段。

    您可以选择LDAP默认的表示用户名属性的字段(包含cnnamesAMAccountName),也可以输入LDAP定义的其他字段,用来表示组名称属性

    组映射属性

    设置组映射属性字段,用于定义企业用户所归属的组关系。默认值:memberOf

    说明

    该字段非必选,如需填写,需与您在LDAP中设置的组映射属性一致。

    组过滤器

    添加组过滤表达式,用于过滤不同分组的企业用户,以便您后续管控不同分组下企业用户的访问权限。

    LDAP常见的过滤器表示方式举例:

    • (&(objectClass=organizationalUnit)(objectClass=organization)):表示搜索objectClass等于organizationalUnit和objectClass等于organization,即两个属性都满足的所有组。

    • (|(objectClass=organizationalUnit)(objectClass=organization)):表示搜索objectClass等于organizationalUnit或object等于organization,即两个属性满足其中一个的组。

    • (!(objectClass=organizationalUnit)):表示搜索objectClass不等于organizationalUnit的组。

    关于LDAP的具体匹配规则,请参见LDAP官方文档LDAP Filters

    用户过滤器

    您可以添加过滤表达式,用于过滤某一个或者某一类用户。

    LDAP常见的过滤器表示方式举例:

    • (&(objectClass=person)(objectClass=user)) :表示搜索objectClass等于person和objectClass等于user,即两个属性都满足的所有企业用户。

    • (|(objectClass=person)(objectClass=user)) :表示搜索objectClass等于person或object等于user,即两个属性满足其中一个的所有企业用户。

    • (!(objectClass=person)):表示搜索objectClass不等于person的所有企业用户。

    关于LDAP的具体匹配规则,请参见LDAP官方文档LDAP Filters

    邮箱属性

    设置表示邮箱的字段。

    重要

    LDAP中默认的标识邮箱的字段为email,填写时需要与您在LDAP中设置的邮箱属性字段一致。

    手机号属性

    设置标识手机号的字段。

    重要

    LDAP中默认的标识手机号的字段为telephoneNumber,填写时需要与您在LDAP中设置的手机号属性字段一致。

  4. 设置双因素认证,然后单击登录测试

    配置项

    说明

    电脑设备登录方式

    支持账号密码登录无密码登录

    • 使用账号密码登录方式时,您可以开启双因素认证,取值:

      • OTP认证:开启OTP验证后,您还要选择OTP令牌模式,目前支持如下三种模式:

        • 允许SASE移动端展示令牌:即SASE自带OTP,需要员工安装SASE移动端客户端。

        • 允许第三方App令牌:需确保OTP客户端时钟同步正常,目前支持标准及常见的OTP认证软件,例如阿里云App等。

        • 允许企业自有令牌:若需兼容企业自研OTP,请在技术人员支持下进行配置。

      • 验证码认证:开启短信验证码验证,需确保配置的身份源中每个用户都已录入手机号。

    • 使用无密码登录方式时,需要先下载并登录SASE移动端App,然后进行扫码认证。

    移动设备登录方式

    支持账号密码登录指纹或人脸识别认证

    • 使用账号密码登录方式时,您可以开启双因素认证,取值:

      • OTP认证:开启OTP验证码验证前,需开启PC端OTP认证并选择允许第三方App绑定或者允许企业自有令牌,移动端令牌配置与电脑设备配置一致。

      • 验证码认证:开启验证码验证,需确保配置的身份源中每个用户都已录入手机号或邮箱。

    • 使用指纹或人脸识别认证方式时,首次登录SASE客户端时仍需要输入账号名与密码。

    说明

    如果您配置的数据有误,SASE会提示您对应的问题。当测试连接后,提示连接LDAP服务器失败,请联系管理员,您需要排查服务器地址、端口号是否填写正确,以及服务器网络是否正常。

  5. 测试成功后,单击确认

配置钉钉单身份源

  1. 登录办公安全平台控制台,在左侧导航栏,选择身份管理 > 身份源管理

  2. 单击添加身份源,在单身份源钉钉页签,设置钉钉身份源,然后单击连接测试

    配置项

    说明

    配置名称

    钉钉的名称信息。

    长度为2~100个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。

    描述

    该配置的描述信息。

    该描述会作为登录标题显示在SASE客户端,方便您登录时知晓身份源信息。

    钉钉配置

    • CorpId:企业在钉钉中的标识,每个企业拥有唯一的CorpId。

      钉钉开放平台上首页获取CorpID。

    • AppKey:钉钉开放平台中创建应用的AppKey。

      钉钉开放平台上目标应用的基础信息页面获取AppKey。

    • AppSecret:钉钉开放平台中创建应用的AppKey。

      钉钉开放平台上目标应用的基础信息页面获取AppSecret。

    组织架构同步

    • 全部部门

    • 部分部门:如果选择部分部门,需要设置部门的ID。支持添加多个部门。

    事件订阅

    配置事件订阅后,企业员工的组织架构会同步至SASE,实现企业员工的组织架构调整或离职场景下SASE安全策略的时效性。

    • 加密aes_key

      钉钉开放平台上目标应用的事件与订阅页面获取加密aes_key。

    • 加密token

      钉钉开放平台上目标应用的事件与订阅页面获取加密token。

    • 请求网址:该值用于在钉钉开放平台设置订阅管理。

      订阅的事件:通讯录用户增加通讯录用户更改通讯录用户离职通讯录企业部门创建通讯录企业部门修改通讯录企业部门删除

    应用首页地址

    固定值:https://login.aliyuncsas.com/ui/dingAuth/

    该值用于在钉钉开放平台设置应用首页地址。

    回调域名

    固定值:https://login.aliyuncsas.com/open-dev/dingtalk

    该值用于在钉钉开放平台设置回调域名。

    身份源配置状态

    根据需要设置配置状态。取值:

    • 已启用:如果当前没有启用其他身份源,您可以直接开启创建的身份源。

    • 已禁用:如果当前存在已启用其他身份源,您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后,再开启新创建的身份源。

      重要

      关闭身份源配置状态开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。

    说明

    如果提示连接失败,请检查服务器地址和服务器端口等信息是否填写错误。

  3. 连接成功后,单击确定

配置企业微信单身份源

  1. 登录办公安全平台控制台,在左侧导航栏,选择身份管理 > 身份源管理

  2. 单击添加身份源,在单身份源企业微信页签,参考下表创建企业微信身份源。

    配置项

    说明

    配置名称

    企业微信身份源的名称信息。

    长度为2~100个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。

    描述

    该配置的描述信息。

    该描述会作为登录标题显示在SASE客户端,方便您登录时知晓身份源信息。

    身份源配置状态

    根据需要设置配置状态。取值:

    • 已启用:如果当前没有启用其他身份源,您可以直接开启创建的身份源。

    • 已禁用:如果当前存在已启用其他身份源,您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后,再开启新创建的身份源。

      重要

      关闭身份源配置状态开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。

  3. 单击获取二维码授权,使用企业微信(管理员账号)扫码授权。

  4. 授权成功后,单击去列表查看

  5. 单身份源企业微信页签,配置Schema值。再单击确定

    需要联系办公安全平台技术支持获取Schema值。

配置飞书单身份源

  1. 登录办公安全平台控制台,在左侧导航栏,选择身份管理 > 身份源管理

  2. 单击添加身份源,在单身份源飞书页签,参考下表设置飞书身份源。然后单击连接测试

    配置项

    说明

    配置名称

    飞书身份源的名称信息。

    长度为2~100个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。

    描述

    该配置的描述信息。

    该描述会作为登录标题显示在SASE客户端,方便您登录时知晓身份源信息。

    App ID

    飞书平台自建应用的应用ID。

    App Secret

    飞书平台自建应用的密码。

    事件订阅

    配置事件订阅后,企业员工的组织架构会同步至SASE,实现企业员工的组织架构调整或离职场景下SASE安全策略的时效性。

    • Encrypt Key

      该值从飞书开放平台通讯录同步页面获取。

    • Verification Token

      该值从飞书开放平台上目标应用的通讯录同步页面获取。

    • 请求网址URL:该值用于在飞书开放平台配置重定向URL。

      订阅的事件:部门新建部门被删除部门信息变化员工离职员工信息变化

    重定向URL

    固定值:https://login.aliyuncsas.com/open-dev/feishu

    该值用于在飞书开放平台配置重定向URL。

    身份源配置状态

    根据需要设置配置状态。取值:

    • 已启用:如果您当前没有启用的身份源,您可以直接开启创建的身份源。如果您当前存在已启用的身份源,您需要在身份证管理页面先禁用其他身份源,然后再开启您新创建的身份源。

    • 已禁用:您可以先禁用新创建的身份源,稍后启用。

    说明

    如果提示连接失败,请检查相关信息是否填写错误。

  3. 连接成功后,单击确定

配置IDaaS单身份源

  1. 登录办公安全平台控制台,在左侧导航栏,选择身份管理 > 身份源管理

  2. 单击添加身份源,在单身份源IDaaS页签,根据您使用的IDaaS版本设置IDaaS身份源。然后单击确定

    IDaaS旧版身份源配置项参考表

    配置项

    说明

    配置名称

    IDaaS配置的名称。

    长度为2~100个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。

    描述

    该配置的描述信息。

    该描述会作为登录标题显示在SASE客户端,方便您登录时知晓身份源信息。

    SAML元配置文件

    上传SAML元配置文件。该文件在创建应用详情(SAML)时IDaaS为您自动生成的。

    授权读取部门结构

    根据需要授权读取部门结构的权限。取值:

    • :请输入IDaaS的API相关信息,用以获取企业目录结构列表,需要设置API KeyAPI Secret

      说明

      配置后您可以按照目录列表批量下发安全策略。在下发安全策略时,系统不会读取您的员工信息。

    • :表示不授权读取部门结构。

    SP Entity ID

    业务系统实体ID。固定值:https://saml-csas.aliyuncs.com/saml/metadata

    SP ACS URL

    业务系统接收SAML请求的地址。固定值:https://saml-csas.aliyuncs.com/saml/acs

    身份源配置状态

    根据需要设置配置状态。取值:

    • 已启用:如果当前没有启用其他身份源,您可以直接开启创建的身份源。

    • 已禁用:如果当前存在已启用其他身份源,您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后,再开启新创建的身份源。

      重要

      关闭身份源配置状态开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。

    属性配置

    固定值。

    IDaaS新版身份源配置项参考表

    配置项

    说明

    配置名称

    IDaaS身份源配置的名称。

    长度为2~100个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。

    描述

    该配置的描述信息。

    该描述会作为登录标题显示在SASE 客户端,方便您登录时知晓身份源信息。

    SAML元配置文件

    上传SAML元配置文件。该文件在创建阿里云SASE应用(单点登录页签)时IDaaS为您自动生成的。

    授权读取部门结构

    根据需要授权读取部门结构的权限。取值:

    • :请输入IDaaS的API相关信息,用以获取企业目录结构列表,需要设置如下字段:

      • 实例ID:创建的EIAM云身份服务新版实例ID。

      • 应用ID:为EIAM云身份服务新版实例添加的阿里云SASE应用ID。

      • client_id:接口鉴权ID,创建阿里云SASE应用(通用配置页签)时IDaaS为您自动生成的。

      • client_secret:接口鉴权密钥,创建阿里云SASE应用(通用配置页签)时IDaaS为您自动生成的。

      • 验签公钥端点链接:创建阿里云SASE应用(账户同步页签)时IDaaS为您自动生成的。

      • 同步接收地址:在SASE控制台上复制该地址到IDaaS控制台的同步接收地址处。

      • 加解密钥:创建阿里云SASE应用(账户同步页签)时IDaaS为您自动生成的。

        说明

        配置后您可以按照目录列表批量下发安全策略。在下发安全策略时,系统不会读取您的员工信息。

    • :表示不授权读取部门结构。

    身份源配置状态

    根据需要设置配置状态。取值:

    • 已启用:如果当前没有启用其他身份源,您可以直接开启创建的身份源。

    • 已禁用:如果当前存在已启用其他身份源,您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后,再开启新创建的身份源。

      重要

      关闭身份源配置状态开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。

配置自定义单身份源

  1. 登录办公安全平台控制台,在左侧导航栏,选择身份管理 > 身份源管理

  2. 添加自定义身份源。

    单击添加身份源,在单身份源自定义身份源页签,参考下表设置自定义身份源。然后单击确定

    配置项

    说明

    配置名称

    自定义身份源的名称信息。

    长度为2~100个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。

    描述

    该配置的描述信息。

    该描述会作为登录标题显示在SASE 客户端界面,方便您登录时知晓身份源信息。

    电脑设备登录方式

    支持账号密码登录无密码登录

    • 使用账号密码登录方式时,您可以开启双因素认证,取值:

      • OTP认证:开启OTP验证后,您还要选择OTP令牌模式,目前支持如下三种模式:

        • 允许SASE移动端展示令牌:即SASE自带OTP,需要员工安装SASE移动端App。

        • 允许第三方App令牌:需确保OTP客户端时钟同步正常,目前支持标准及常见的OTP认证软件,例如阿里云App等。

        • 允许企业自有令牌:若需兼容企业自研OTP,请在技术人员支持下进行配置。

      • 验证码认证:开启短信验证码验证,需确保配置的身份源中每个用户都已录入手机号。

    • 使用无密码登录方式时,需要先下载并登录SASE移动端App,然后进行扫码认证。

    移动设备登录方式

    支持账号密码登录指纹或人脸识别认证

    • 使用账号密码登录方式时,您可以开启双因素认证,取值:

      • OTP认证:开启OTP验证码验证前,需开启PC端OTP认证并选择允许第三方App绑定或者允许企业自有令牌,移动端令牌配置与电脑设备配置一致。

      • 验证码认证:开启验证码验证,需确保配置的身份源中每个用户都已录入手机号或邮箱。

    • 使用指纹或人脸识别认证方式时,首次登录SASE App时仍需要输入账号名与密码。

    身份源配置状态

    根据需要设置配置状态。取值:

    • 已启用:如果当前没有启用其他身份源,您可以直接开启创建的身份源。

    • 已禁用:如果当前存在已启用其他身份源,您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后,再开启新创建的身份源。

      重要

      关闭身份源配置状态开关,会导致企业用户使用SASE客户端无法访问内网应用。请谨慎操作。

  3. 添加用户信息。

    单击操作详情,在详情面板,单击添加用户,添加后单击确定。支持通过以下两种方式添加用户信息,包含用户名部门邮箱手机号等。

    说明

    如果需要为添加的用户设置部门,您可以单击部门管理,创建部门。

    • 手动添加

      您需要逐个添加每个用户的用户信息。

    • Excel导入

      通过下载指定模板,填入所有用户信息,然后批量上传所填的用户信息。

配置多身份源

  1. 登录办公安全平台控制台,在左侧导航栏,选择身份管理 > 身份源管理

  2. 身份源管理页面,单击添加身份源

  3. 添加身份源面板的多身份源页签,配置如下信息。

    配置项

    说明

    身份源

    身份源列表会展示已创建的LDAP、钉钉、自定义类型的单身份源信息,您需要勾选待添加的单身份源。

    目前一个多身份源最多可添加5个单身份源。

    多身份源名称

    多身份源的名称。

    长度为1~32个字符,支持输入汉字与字母、数字、短划线(-)和下划线(_)。

    身份源配置状态

    请根据需要设置配置状态。取值:

    • 已启用:如果当前没有启用的身份源,您可以直接启用新创建的身份源。如果当前存在已启用的身份源,您需要先禁用已启用的身份源,然后再启用新创建的身份源。

    • 已禁用:您可以先禁用新创建的身份源,待需要时再启用。默认为禁用状态。

      重要

      关闭身份源配置状态开关,会导致企业用户使用SASE客户端无法访问内网应用。请谨慎操作。

    描述

    设置多身份源的描述信息。

  4. 单击确定

    添加完成后,配置的信息会显示在配置列表中。

其他操作

添加完成后,配置的信息会显示在配置列表中。您可以根据实际情况,在身份源列表执行如下操作:

  • 修改状态:认证管理只能开启一个。如果您需要调整状态,需要状态列先禁用已启用的状态,然后再开启其他的认证管理。

  • 编辑配置信息:单击操作列的编辑,修改相关配置。

  • 查看配置详情:单击操作列的详情,查看身份源配置的详细信息。

  • 删除配置信息:单击操作列的删除,删除指定配置信息。

相关文档

后续步骤

设置完身份源后,您可以根据业务需要设置用户组。具体操作,请参见配置用户组

  • 本页导读 (1)
文档反馈