SASE以身份驱动下发安全策略,如果企业已使用IDaaS身份源管理组织架构,可以通过SASE对接企业的IDaaS身份源,无需您再次为企业员工创建身份信息。对接企业IDaaS身份源后,企业员工可使用与企业身份一致的账号体系登录SASE App办公。本文介绍如何对接IDaaS身份源。
使用限制
身份源功能在同一时段最多开启5个身份源(自定义身份源仅支持同时开启一个)。如果当前已启用的身份源额度已满,您需要先禁用已启用的身份源,然后再启用您需要的身份源。
配置IDaaS身份源
登录办公安全平台控制台。
在左侧导航栏,选择。
在身份同步页签,单击新增身份源。
在新增身份源面板中,选择IDaaS,然后单击开始配置。
由于IDaaS的新旧版本配置流程不同,参考配置向导完成相关配置。
IDaaS新版身份源配置流程
在基础配置向导中,参考下表内容进行配置。
配置项
说明
身份源名称
IDaaS身份源配置的名称。
长度为2~100个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。
描述
该配置的描述信息。
该描述会作为登录标题显示在SASE 客户端,方便您登录时知晓身份源信息。
身份源状态
根据需要配置身份源状态。取值:
已开启:创建成功后开启身份源开关。
已关闭:创建成功后关闭身份源开关。
重要关闭身份源开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。
IDaaS版本
选择新版。
区域实例
选择实例所在区域。支持选择国内或海外区域。
SAML元配置文件
上传SAML元配置文件。该文件在创建阿里云SASE应用(单点登录页签)时IDaaS为您自动生成的。
授权读取部门结构
根据需要授权读取部门结构的权限。取值:
是:请输入IDaaS的API相关信息,用以获取企业目录结构列表,需要设置如下字段:
实例ID:创建的EIAM云身份服务新版实例ID。
应用ID:为EIAM云身份服务新版实例添加的阿里云SASE应用ID。
client_id:接口鉴权ID,创建阿里云SASE应用(通用配置页签)时IDaaS为您自动生成的。
client_secret:接口鉴权密钥,创建阿里云SASE应用(通用配置页签)时IDaaS为您自动生成的。
验签公钥端点链接:创建阿里云SASE应用(账户同步页签)时IDaaS为您自动生成的。
同步接收地址:在SASE控制台上复制该地址到IDaaS控制台的同步接收地址处。
加解密钥:创建阿里云SASE应用(账户同步页签)时IDaaS为您自动生成的。
说明配置后您可以按照目录列表批量下发安全策略。在下发安全策略时,系统不会读取您的员工信息。
自动同步:开启自动同步开关后,系统将自动根据同步模式从IDaaS同步相关信息。
如果您未开启自动同步,需要手动同步组织架构,具体操作,请参见查看同步记录。
同步员工信息:开启同步员工信息开关后,系统将根据自动同步周期,自动从企业微信同步员工信息。
说明若未开启自动同步功能,则不执行同步员工信息功能。
自动同步周期:设置自动同步周期,支持设置每1小时-每24小时自动同步一次。
否:表示不授权读取部门结构。
如果您在配置授权读取部门结构时选择否,单击确认,即可完成配置。
若您选择是,可以单击连通性测试,测试成功后,单击下一步。
在同步配置向导中,对组织架构的同步范围及字段映射进行配置,然后单击确认。
配置项
说明
组织架构同步
配置同步组织架构的范围。
全部同步:将新版IDaaS的组织架构全部同步到SASE系统中。
部分同步:选择需要同步的组织架构。
字段同步映射
配置IDaaS组织架构字段与SASE同步字段的映射关系。
说明如果SASE系统内置的映射后本地字段无法满足您的业务需求,您可以单击列表右上方的查看扩展字段,在查看扩展字段面板中对扩展字段进行新增、编辑、删除等操作。
IDaaS旧版身份源配置流程
在基础配置向导中,参考下表内容进行配置。
配置项
说明
身份源名称
IDaaS配置的名称。
长度为2~100个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。
描述
该配置的描述信息。
该描述会作为登录标题显示在SASE客户端,方便您登录时知晓身份源信息。
身份源状态
根据需要配置身份源状态。取值:
已开启:创建成功后开启身份源开关。
已关闭:创建成功后关闭身份源开关。
重要关闭身份源开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。
IDaaS版本
选择旧版。
SAML元配置文件
上传SAML元配置文件。该文件在创建应用详情(SAML)时IDaaS为您自动生成的。
授权读取部门结构
根据需要授权读取部门结构的权限。取值:
是:请输入IDaaS的API相关信息,用以获取企业目录结构列表,需要设置API Key和API Secret,并设置自动同步相关功能。
说明配置后您可以按照目录列表批量下发安全策略。在下发安全策略时,系统不会读取您的员工信息。
自动同步:开启自动同步开关后,系统将自动根据同步模式从IDaaS同步相关信息。
如果您未开启自动同步,需要手动同步组织架构,具体操作,请参见查看同步记录。
同步员工信息:开启同步员工信息开关后,系统将根据自动同步周期,自动从企业微信同步员工信息。
说明若未开启自动同步功能,则不执行同步员工信息功能。
自动同步周期:设置自动同步周期,支持设置每1小时-每24小时自动同步一次。
否:表示不授权读取部门结构。
SP Entity ID
业务系统实体ID。固定值:https://saml-csas.aliyuncs.com/saml/metadata。
SP ACS URL
业务系统接收SAML请求的地址。固定值:https://saml-csas.aliyuncs.com/saml/acs。
如果您在配置授权读取部门结构时选择否,单击确认,即可完成配置。
若您选择是,可以单击连通性测试,测试成功后,单击确认,完成配置。
查看同步记录
当您在配置身份源时选择授权读取部门结构,并开启自动同步功能,待自动同步完成后您可以查看同步记录。
在身份同步页签,定位到已添加的身份源,单击操作列同步记录。
在同步记录页面,查看该身份源的信息同步记录。
在页面左侧同步任务区域单击具体的同步任务,可以在页面右侧列表中查看该同步任务的同步信息。
单击目标操作列详情,查看本次同步的三方数据源和SASE数据源的字段信息。
手动同步
如果您在配置身份源时未开启自动同步或您的身份源架构调整,需要手动同步架构信息。您可以单击新增同步任务,并单击确定。等待同步任务执行成功后,再查看同步记录。
同步成功后,您可以在页签中查看同步的企业组织架构及员工信息等。具体操作,请参见员工中心。
关闭自动同步
在身份同步页面,定位到已添加的身份源,在自动同步列关闭身份源的自动同步开关。
在编辑身份源面板中,关闭自动同步开关。
编辑IDaaS身份源
在身份同步页面,定位到已添加的IDaaS身份源,单击操作列编辑即可修改该身份源信息。
关闭IDaaS身份源
在身份同步页面,定位到已添加的IDaaS身份源,在身份源开关列关闭身份源的状态开关。
删除IDaaS身份源
在身份同步页面,定位到已添加的IDaaS身份源,单击操作列删除即可删除该身份源信息。
相关文档
最佳实践
配置SASE身份源
如果企业未使用任何身份源,可以使用SASE提供的自定义身份源上建立组织架构。具体信息,请参见配置SASE身份源。
对接第三方身份源
如果企业已使用LDAP、钉钉、企业微信、飞书、IDaaS身份源的某一种身份源管理企业组织架构,可以通过SASE接入身份源信息。
配置用户组
如果您需要在企业组织架构以外创建用户组,请参见用户组管理。