建立辦公安全平臺SASE(Secure Access Service Edge)與應用身份服務IDaaS(Alibaba Cloud IDentity as a Service)的連接,使您的企業用戶直接以應用身份服務賬號登錄辦公安全平臺,方便您在辦公安全平臺管控企業用戶的訪問權限,從而保障企業的辦公數據安全。本文介紹如何建立辦公安全平臺與應用身份服務的連接。
應用場景
辦公安全平臺幫助您管控企業員工的內網訪問權限、互聯網訪問權限,以及保護企業辦公數據,滿足企業對日常辦公安全的需求。當您已經使用應用身份服務管理企業的用戶信息,此時,您可以通過辦公安全平臺與應用身份服務的連接,實現企業用戶直接使用應用身份服務賬號登錄辦公安全平臺客戶端,無需再維護一套辦公安全平臺的身份管理系統,為您降低用戶信息的維護成本。
前提條件
操作流程
步驟一:獲取SP Entity ID和SP ACS URL信息
建立辦公安全平臺與應用身份服務連接之前,您需要先獲取SP Entity ID和SP ACS URL信息,用于創建SAML應用。SP Entity ID和SP ACS URL是固定值,您可以保存如下固定值:
SP Entity ID:https://saml-csas.aliyuncs.com/saml/metadata
SP ACS URL:https://saml-csas.aliyuncs.com/saml/acs
您可以在辦公安全平臺控制臺的身份接入頁面,添加身份源信息時設置身份源為IDaas,獲取SP Entity ID和SP ACS URL信息。
步驟二:創建SAML應用并授權訪問應用
創建SAML應用是為了辦公安全平臺與應用身份服務安全域交換認證和數據授權。
開通EIAM實例。具體操作,請參見免費開通EIAM實例。
創建SAML應用并授權訪問應用。
使用管理員賬號登錄應用身份管理控制臺。在左側導航欄,單擊EIAM云身份服務。
在EIAM云身份服務頁面的舊版頁簽,單擊開通的EIAM實例右側操作列的管理。
在左側導航欄,選擇。
定位到已創建的SAML應用,單擊右側操作列的添加應用。
您可以在搜索框搜索SAML,快速查找到SAML應用。
在添加應用(SAML)面板,單擊添加SigningKey。然后在添加SigningKey面板,設置相關信息創建一個SAML應用。設置完成后,單擊提交。
在添加應用(SAML)面板,單擊已添加的SAML應用右側操作列的選擇。參考如下關鍵配置項說明設置相關參數,設置完成后,單擊提交。
配置項
說明
示例值
應用名稱
應用的名稱。
SAML_test123
IDP IdentityId
身份源的認證參數,需要您自定義。
test
SP Entity ID
固定值。
https://saml-csas.aliyuncs.com/saml/metadata
SP ACS URL(SSO Location)
固定值。
https://saml-csas.aliyuncs.com/saml/acs
NameIdFormat
名稱ID格式,需要您選擇ID的格式。
farmat****
Binding
身份源調用第三方應用SP提供的ACS URL的方式。不需要重新設置,保持默認配置POST。
POST
Assertion Attribute
斷言屬性。配置后,會將值放入SAML斷言中。名稱為自定義名稱,值為賬戶的屬性值。您必須要配置的斷言屬性如下:
賬戶名稱
郵箱
手機號
說明斷言屬性需要與SASE的身份源管理中單身份源IDaaS類型的屬性配置默認字段保持一致。
賬戶名稱:username
郵箱:email
手機號:telephone
賬戶關聯方式
賬戶關聯:系統按主子賬戶對應關系進行手動關聯,用戶添加后需要管理員審批。
賬戶映射:系統自動將主賬戶名稱或指定的字段映射為應用的子賬戶。
賬戶映射
應用添加成功后,在彈出的對話框單擊立即授權。
在應用授權頁面的應用授權主體頁簽,選擇已創建的SAML應用(SAML_test123),然后對賬戶授權。完成后,單擊保存。
步驟三:獲取元配置文件和API信息
按照以下步驟獲取元配置文件和API信息,該數據用于創建IDaaS身份管理。
使用管理員賬號登錄應用身份管理控制臺。在左側導航欄,單擊EIAM云身份服務。
在EIAM云身份服務頁面的舊版頁簽,單擊開通的EIAM實例右側操作列的管理。
在左側導航欄,選擇。在應用列表頁面,展開已創建的SAML應用(SAML_test123)右側操作列的詳情。
在應用信息區域,單擊查看詳情。
在右側應用詳情(SAML)面板,單擊導出IDaaS SAML元配置文件。
在應用列表頁面的API區域,開啟API開關,將API Key和API Secret的值保存到本地。
步驟四:建立辦公安全平臺與應用身份服務的連接
創建應用身份服務身份管理,建立辦公安全平臺與應用身份服務的連接。
登錄辦公安全平臺控制臺。在左側導航欄,選擇。
在身份源管理頁簽,單擊添加身份源。
在添加身份源面板,設置認證類型為單身份源、身份源為IDaaS,參考如下關鍵配置項說明設置相關參數。然后單擊確定。
配置項
說明
示例值
身份源配置狀態
已啟用:如果您當前沒有開啟的身份源時,選擇啟用后,您創建的IDaaS配置是開啟狀態;如果您當前存在已開啟的身份源時,您需要先關閉已開啟的身份源,然后再開啟您新創建的身份源。
說明只支持在同一時段開啟一個身份源。
已禁用:您可以先禁用新創建的身份源,稍后開啟。
啟用
配置名稱
自定義配置的名稱。長度為2~100個字符,支持輸入漢字與字母、數字、下劃線(_)和短劃線(-)。
test123
描述
該配置的描述信息。
該描述會作為登錄標題顯示在SASE客戶端界面,方便您登錄時知曉身份源信息。
IDaaS登錄
SAML元配置文件
關于如何獲取該文件,請參見步驟三:獲取元配置文件和API信息。
無
授權讀取部門結構
用于獲取企業目錄結構列表,您配置該參數用于按照目錄列表批量下發安全策略。關于如何獲取API Key和API Secret,請參見步驟三:獲取元配置文件和API信息。
API Key:dingwjlht8b93ara****
API Secret:1Uji1mEjhmWq_SmE0KNScspYk0bBgDrlZ95vUTR-bn4FbfeVQQKNr1_1giWA****
步驟五:查看連接是否建立成功
打開您已下載的辦公安全平臺客戶端。
在歡迎登錄云安全訪問服務頁面,輸入企業認證標識,然后單擊確定。
您可以在辦公安全平臺的設置頁面,獲取企業認證標識。
可選:如果已開啟用戶登錄短信認證,在短信認證頁面,需要輸入您收到的認證碼。
使用應用身份服務用戶賬號和密碼登錄。
若登錄成功后,表示連接已經建立成功。