AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 办公安全平台 操作指南 管理员用户指南 身份认证 身份接入 认证管理

认证管理

更新时间:
产品详情
我的收藏

本文档介绍了SASE App的认证管理功能,帮助您更方便、更安全地登录和使用应用。通过灵活的身份管理、自动登录策略以及使用企业级身份提供方(Okta、Azure AD、自研系统等)通过OIDC协议单点登录到SASE App,让您在使用过程中享受更流畅、更安全的访问体验。

使用场景

  • 当企业接入多个应用后,每个应用有不同的身份源,用户需要使用不同的身份源登录SASE App。

  • 用户基于OIDC认证源。此时为了操作方便,企业需要将支持OIDC协议应用统一使用OIDC认证源登录SASE App。

  • 在企业终端统一管理的环境中,IT管理员希望员工在打开SASE App时无需手动输入账号密码即可自动登录,提升使用效率和用户体验。

前提条件

  • 开启认证状态需要先创建身份源并开启身份源开关。具体操作,请参见身份同步

  • 使用OIDC协议扩展LDAP身份源,您需要先对接LDAP身份源,并开启身份源开关。如果你需要对接LDAP的最佳实践,请参见通过办公安全平台保障LDAP用户安全访问

    说明

    由于OIDC认证源没有组织架构的能力,所以必须关联具备组织架构能力的身份源。

  • 企业办公终端安装的SASE App的版本不低于v4.8.5。

创建扩展认证源

扩展认证源支持配置OIDC认证源和设备认证源。OIDC认证源基于标准的OIDC授权码模式实现联邦认证,理论上,只要您的身份提供方(如Okta、Azure AD、自研系统)支持该模式的单点登录,即可作为SASE的身份提供方,允许用户使用其账号登录SASE App。设备认证源则需上传设备相关信息,结合免登策略,可实现客户端的自动免登录操作。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,选择身份认证 > 身份接入

  3. 认证管理页签,单击扩展认证源

    image

  4. 扩展认证源页面,单击添加扩展认证源

  5. 新增面板,参考下表添加扩展认证源信息。

    配置项

    说明

    认证源名称

    扩展身份源的名称信息。

    长度为2~100个字符,中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。

    描述

    该配置的描述信息。

    该描述会作为登录标题显示在SASE客户端,方便您登录时知晓身份源信息。

    扩展认证源配置 > 认证源类型

    认证源类型支持OIDC设备认证两种方式,其中设备认证用于客户端免登录功能。

    • OIDC

      • 授权模式:默认为授权码模式,无法修改。

      • Client ID:向SASE发起请求的标识信息,即您的身份提供方中应用的标识。

      • Client Secret:向SASE发起请求的密钥信息,即您的身份提供方中应用的密钥。

        重要

        请保管好Client Secret,一旦怀疑泄露,请删除旧密钥并添加新密钥进行轮转。

      • Scopes:请求授权端点时携带的 Scopes 信息,代表申请的授权范围。

      • Issuer:OIDC Issuer 发现端点。可通过解析发现端点,自动获取端点信息。

    • 设备认证

      1. 单击下载导入模板,填写需要使用免登功能的设备信息(姓名、手机号、邮箱、设备MAC地址、设备SN号、设备主机名)。

        image

      2. 拖拽上传文件或单击查看本地文件,将模板上传至SASE

    关联身份源

    选择不同的认证源类型支持选择关联身份源的类型不同。

    • OIDC类型:选择已创建的LDAP身份源,且仅支持选择LDAP身份源。

    • 设备认证类型:选择已创建的身份源。

  6. 单击确定

    选择OIDC认证源类型时,还需要复制SASE授权回调RedirectURI的值,然后将该值填写到OIDC服务中。

配置免登策略并登录客户端

开启客户端免登功能后,客户端无需登录即可运行,未绑定身份源的设备将以匿名身份接入,数据保护与终端防护策略仍可生效。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,选择身份认证 > 身份接入

  3. 认证管理页签中,单击免登策略

  4. 客户端免登策略面板中开启配置免登范围及查看免登生效设备。

    配置项

    说明

    启动客户端免登录

    开启客户端免登策略。

    免登范围

    • 全部设备:指平台终端列表中的所有设备,包括手动导入的公司设备。策略生效后,这些设备将以匿名身份免登上线,需开启自定义身份源认证。您可以在左侧导航栏中,选择终端管理 > 终端列表,查看企业终端信息。

    • 认证设备:指已在扩展认证源中完成设备认证配置的所有设备。策略生效后,这些设备将以归属人身份免登上线。

    免登生效状态

    当前已生效的设备。您可以单击设备数量,跳转至终端列表页面查看生效设备的相关信息。

  5. 单击确定

  6. 认证管理页签中开启自定义身份源开关。

    说明

    开通SASE后,默认会为您生成一条自定义身份源。如果您需要创建自定义身份源,请参见配置SASE身份源

    • 如果企业使用的是企业架构身份源,同时也需要开通对应身份源开关。

    • 如果企业使用的是OIDC扩展认证源,同时需要在认证管理页签中开启对应认证源状态。

  7. 使用在免登范围内的设备下载并安装SASE App。

  8. 打开SASEApp,输入企业认证标识后,单击确认SASE App将会自动完成登录。

开启认证状态

已创建并开启身份源开关或已创建的OIDC扩展认证源会在列表中展示,您可以管理身份源的认证状态及调整身份源在SASE App登录页的展示顺序。

  1. 认证管理页签,定位到您已创建的身份源。

  2. 单击认证状态列的开关,开启认证状态。

    如果您需要调整SASE App登录页身份源的展示顺序。

    image可以在拖动列表左侧的image进行调整。

    image

说明

  • 只有开启认证状态的身份源支持调整展示顺序。

  • 只有开启认证状态的身份源才能使用该身份源登录SASE App。

相关文档

上一篇:对接无影身份源下一篇:身份管理常见问题