文档

对接IDaaS单身份源

更新时间:

SASE以身份驱动下发安全策略,如果企业已使用IDaaS身份源管理组织架构,可以通过SASE对接企业的IDaaS身份源,无需您再次为企业员工创建身份信息。对接企业IDaaS身份源后,企业员工可使用与企业身份一致的账号体系登录SASE App办公。本文介绍如何对接IDaaS身份源。

使用限制

身份源功能仅支持在同一时段开启一个身份源(一个单身份源或者一个多身份源)。如果当前存在已启用的身份源,您需要先禁用已启用的身份源,然后再启用您需要的身份源。

配置IDaaS单身份源

  1. 登录办公安全平台控制台。在左侧导航栏,选择身份认证管理 > 身份接入

  2. 身份接入页面选择身份源管理页签,单击添加身份源,在单身份源IDaaS页签,根据您使用的IDaaS版本设置IDaaS身份源。然后单击确定

    IDaaS新版身份源配置项参考表

    配置项

    说明

    配置名称

    IDaaS身份源配置的名称。

    长度为2~100个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。

    描述

    该配置的描述信息。

    该描述会作为登录标题显示在SASE 客户端,方便您登录时知晓身份源信息。

    SAML元配置文件

    上传SAML元配置文件。该文件在创建阿里云SASE应用(单点登录页签)时IDaaS为您自动生成的。

    授权读取部门结构

    根据需要授权读取部门结构的权限。取值:

    • :请输入IDaaS的API相关信息,用以获取企业目录结构列表,需要设置如下字段:

      • 实例ID:创建的EIAM云身份服务新版实例ID。

      • 应用ID:为EIAM云身份服务新版实例添加的阿里云SASE应用ID。

      • client_id:接口鉴权ID,创建阿里云SASE应用(通用配置页签)时IDaaS为您自动生成的。

      • client_secret:接口鉴权密钥,创建阿里云SASE应用(通用配置页签)时IDaaS为您自动生成的。

      • 验签公钥端点链接:创建阿里云SASE应用(账户同步页签)时IDaaS为您自动生成的。

      • 同步接收地址:在SASE控制台上复制该地址到IDaaS控制台的同步接收地址处。

      • 加解密钥:创建阿里云SASE应用(账户同步页签)时IDaaS为您自动生成的。

        说明

        配置后您可以按照目录列表批量下发安全策略。在下发安全策略时,系统不会读取您的员工信息。

    • :表示不授权读取部门结构。

    身份源配置状态

    根据需要设置配置状态。取值:

    • 已启用:如果当前没有启用其他身份源,您可以直接开启创建的身份源。

    • 已禁用:如果当前存在已启用其他身份源,您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后,再开启新创建的身份源。

      重要

      关闭身份源配置状态开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。

    IDaaS旧版身份源配置项参考表

    配置项

    说明

    配置名称

    IDaaS配置的名称。

    长度为2~100个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。

    描述

    该配置的描述信息。

    该描述会作为登录标题显示在SASE客户端,方便您登录时知晓身份源信息。

    SAML元配置文件

    上传SAML元配置文件。该文件在创建应用详情(SAML)时IDaaS为您自动生成的。

    授权读取部门结构

    根据需要授权读取部门结构的权限。取值:

    • :请输入IDaaS的API相关信息,用以获取企业目录结构列表,需要设置API KeyAPI Secret

      说明

      配置后您可以按照目录列表批量下发安全策略。在下发安全策略时,系统不会读取您的员工信息。

    • :表示不授权读取部门结构。

    SP Entity ID

    业务系统实体ID。固定值:https://saml-csas.aliyuncs.com/saml/metadata

    SP ACS URL

    业务系统接收SAML请求的地址。固定值:https://saml-csas.aliyuncs.com/saml/acs

    身份源配置状态

    根据需要设置配置状态。取值:

    • 已启用:如果当前没有启用其他身份源,您可以直接开启创建的身份源。

    • 已禁用:如果当前存在已启用其他身份源,您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后,再开启新创建的身份源。

      重要

      关闭身份源配置状态开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。

    属性配置

    固定值。

关闭IDaaS身份源

身份源管理页面,定位到已添加的IDaaS身份源,在状态列关闭身份源的状态开关。

查看IDaaS身份源

身份源管理页面,定位到已添加的IDaaS身份源,单击操作详情即可查看配置的IDaaS信息。

删除IDaaS身份源

身份源管理页面,定位到已添加的IDaaS身份源,单击操作删除即可删除该身份源信息。

编辑IDaaS身份源

身份源管理页面,定位到已添加的IDaaS身份源,单击操作列编辑即可修改该身份源信息。

相关文档

最佳实践

配置SASE身份源

如果企业未使用任何身份源,可以使用SASE提供的自定义身份源上建立组织架构。具体信息,请参见配置SASE身份源

对接第三方身份源

如果企业已使用LDAP、钉钉、企业微信、飞书、IDaaS身份源的某一种身份源管理企业组织架构,可以通过SASE接入身份源信息。

配置多身份源

如果企业需要使用多种身份源来管理企业组织架构,可以通过SASE配置多个身份源信息。具体信息,请参见配置多种身份源

配置用户组

如果您需要在企业组织架构以外创建用户组,请参见配置用户组