如果您的企业未使用任何身份源来管理企业的组织架构,可以在SASE上通过自定义身份源上建立组织架构,以确保SASE App用户身份合法有效,提升办公环境安全性。本文介绍如何配置自定义身份源。
使用限制
身份源功能仅支持在同一时段开启一个身份源(一个单身份源或者一个多身份源)。如果当前存在已启用的身份源,您需要先禁用已启用的身份源,然后再启用您需要的身份源。
配置SASE自定义身份源
步骤一:添加自定义身份源
开通SASE后,默认会为您生成一条自定义身份源,如果已有自定义身份源,请跳过该步骤。
登录办公安全平台控制台。
在左侧导航栏,选择。
添加自定义身份源。
在身份接入页面选择身份源管理页签,单击添加身份源,在单身份源的页签企业身份源下拉列表中选择自定义身份源,参考下表设置自定义身份源。然后单击确定。
配置项
说明
配置名称
自定义身份源的名称信息。
长度为2~100个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。
描述
该配置的描述信息。
该描述会作为登录标题显示在SASE 客户端界面,方便您登录时知晓身份源信息。
电脑设备登录方式
支持账号密码登录和无密码登录。
使用账号密码登录方式时,您可以开启双因素认证,取值:
OTP认证:开启OTP验证后,您还要选择OTP令牌模式,目前支持如下三种模式:
允许SASE移动端展示令牌:即SASE自带OTP,需要员工安装SASE移动端App。
允许第三方App令牌:需确保OTP客户端时钟同步正常,目前支持标准及常见的OTP认证软件,例如阿里云App等。
允许企业自有令牌:若需兼容企业自研OTP,请在技术人员支持下进行配置。
验证码认证:支持短信验证码和邮箱验证码。确保配置的身份源中每个用户都已录入手机号或者邮箱号。
使用无密码登录方式时,需要先下载并登录SASE移动端App,然后进行扫码认证。
移动设备登录方式
支持账号密码登录和指纹或人脸识别认证。
使用账号密码登录方式时,您可以开启双因素认证,取值:
OTP认证:开启OTP验证码验证前,需开启PC端OTP认证并选择允许第三方App绑定或者允许企业自有令牌,移动端令牌配置与电脑设备配置一致。
验证码认证:开启验证码验证,需确保配置的身份源中每个用户都已录入手机号或邮箱。
使用指纹或人脸识别认证方式时,首次登录SASE App时仍需要输入账号名与密码。
身份源配置状态
根据需要设置配置状态。取值:
已启用:如果当前没有启用其他身份源,您可以直接开启创建的身份源。
已禁用:如果当前存在已启用其他身份源,您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后,再开启新创建的身份源。
重要关闭身份源配置状态开关,会导致企业用户使用SASE客户端无法访问内网应用。请谨慎操作。
步骤二:添加用户信息
定位到自定义身份源,单击操作列用户管理。
如果需要为添加的用户设置部门,您可以单击部门管理。在部门管理对话框,单击新建部门设置企业的部门信息。
在用户管理面板,单击添加用户。
用户信息包含用户名(必填)、部门、邮箱(必填)、手机号等。
支持如下两种方式添加用户信息:
手动添加
您需要逐个添加每个用户的用户信息。
Excel导入
通过下载指定模板,填入所有用户信息,然后批量上传所填的用户信息。
用户信息添加完成后,SASE会将每个用户的用户名和生成的密码发送到对应的邮箱,该用户名和密码用来登录SASE App,请妥善保管。
删除用户信息
针对已离职的用户信息,企业管理员可以在自定义身份源的用户管理面板,删除其用户信息。
修改用户信息
如果用户的部门变更,导致用户信息需要变更时,企业管理员可以在自定义身份源的用户管理面板,单击
图标修改信息。
常见问题
如果企业员工将自定义身份源的用户密码丢失,该怎么办?
企业员工丢失密码后,可以通过忘记密码对密码进行重置,也可以上报企业管理员,企业管理员可以在自定义身份源的用户管理面板,为其重置密码。
相关文档
对接第三方身份源
如果企业已使用LDAP、钉钉、企业微信、飞书、IDaaS身份源的某一种身份源管理企业组织架构,可以通过SASE接入身份源信息。
配置多身份源
如果企业需要使用多种身份源来管理企业组织架构,可以通过SASE配置多个身份源信息。具体信息,请参见配置多种身份源。
配置用户组
如果您需要在企业组织架构以外创建用户组,请参见配置用户组。