Bastionhost terintegrasi dengan Identity as a Service (IDaaS) untuk memusatkan manajemen identitas pengguna di seluruh perusahaan Anda. Setelah menghubungkan instans Employee Identity and Access Management (EIAM) IDaaS, pengguna yang dibuat di IDaaS secara otomatis disinkronkan ke Bastionhost—sehingga tim Anda dapat login ke Bastionhost menggunakan kredensial korporat yang sudah ada, dan administrator Anda mengelola akses dari satu sumber identitas.
Topik ini menjelaskan cara mengasosiasikan instans IDaaS EIAM dengan Bastionhost, mengubah instans yang terasosiasi, serta menghapus konfigurasi autentikasi IDaaS.
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
Instans Bastionhost Edisi Perusahaan. Autentikasi IDaaS tidak tersedia pada edisi lainnya. Untuk membeli atau meningkatkan, lihat Purchase a bastion host dan Upgrade a bastion host.
Instans IDaaS EIAM. Untuk membuatnya, lihat bagian Create an instance dalam topik Manage instances.
Batasan
Pengguna IDaaS tidak dapat login ke bastion host menggunakan autentikasi berbasis password pada client. Untuk melakukan O&M aset, pengguna IDaaS harus menggunakan autentikasi berbasis token O&M pada client atau menggunakan portal O&M. Untuk detailnya, lihat O&M manual (V3.2).
Mengasosiasikan instans IDaaS EIAM
Login ke Bastionhost console. Di bilah navigasi atas, pilih wilayah tempat bastion host Anda berada.
Dalam daftar bastion host, temukan bastion host tersebut dan klik Manage.
Di panel navigasi kiri, klik System Settings.
Di tab IDaaS Authentication, klik Associate IDaaS Instance.
Pada kotak dialog Associate IDaaS Instance, pilih instans IDaaS EIAM dan klik Next. Pada pesan konfirmasi, klik OK.
Application Name tidak dapat diubah setelah ditetapkan. Secara default, ID bastion host digunakan sebagai nama aplikasi. Untuk membuat instans IDaaS EIAM baru, buka IDaaS console. Untuk informasi lebih lanjut, lihat bagian Create an instance.
Pada langkah Completed, tinjau pesan konfirmasi dan klik OK.
Setelah asosiasi selesai, pengguna yang dibuat pada instans IDaaS EIAM secara otomatis disinkronkan ke Bastionhost. Untuk melihat pengguna yang telah disinkronkan, buka Users > Users di panel navigasi kiri.
Impor pengguna IDaaS yang sudah ada
Untuk pengguna yang sudah ada di IDaaS sebelum asosiasi, gunakan salah satu metode berikut untuk mengimpornya:
Metode 1: Login ke IDaaS console dan dorong pengguna yang sudah ada ke Bastionhost secara massal. Untuk detailnya, lihat Provision Accounts - IDaaS Event Callback.
Metode 2: Impor pengguna satu per satu dari halaman Users di Bastionhost console. Untuk detailnya, lihat Create users.
Parameter konfigurasi
Setelah asosiasi, tinjau dan konfigurasikan parameter berikut di tab IDaaS Authentication:
| Parameter | Deskripsi |
|---|---|
| Egress IP Address | Alamat IP outbound dari IDaaS. Jika Anda memiliki aturan kontrol akses pada bastion host Anda, tambahkan alamat-alamat ini ke daftar putih. |
| Synchronization Scope | Organisasi IDaaS tempat pengguna disinkronkan ke Bastionhost. |
| SSO Implemented By | Mengontrol sistem mana yang menyediakan halaman login Single Sign-On (SSO). IDaaS and Bastionhost berarti SSO ditangani di halaman login IDaaS. Only Bastionhost berarti SSO ditangani di portal O&M bastion host. |
| IDaaS Sign-in URL | Alamat portal O&M yang menjadi tujuan pengalihan pengguna setelah SSO berbasis IDaaS selesai. Diperlukan ketika SSO Implemented By diatur ke IDaaS and Bastionhost. Nilai yang valid: Public Web Portal Address dan Private O&M Portal. |
| Manual Import Interval of Synchronized User Snapshots | Frekuensi Bastionhost menarik snapshot pengguna dari IDaaS saat Anda mengimpor pengguna IDaaS. Nilai yang valid: 0 dan 4–168. Satuan: jam. Default: 0 (snapshot tidak ditarik secara otomatis). Untuk detailnya, lihat Create users. |
Mengubah instans IDaaS EIAM
Mengubah instans IDaaS EIAM akan menghapus semua catatan pengguna IDaaS dari Bastionhost. Pengguna tersebut tidak dapat lagi login, dan catatan penggunanya di Bastionhost tidak dapat dipulihkan. Lakukan dengan hati-hati.
Login ke Bastionhost console. Di bilah navigasi atas, pilih wilayah tempat bastion host Anda berada.
Dalam daftar bastion host, temukan bastion host tersebut dan klik Manage.
Di panel navigasi kiri, klik System Settings.
Di tab IDaaS Authentication, klik Change IDaaS Instance.
Pada kotak dialog Change IDaaS Instance, klik Clear IDaaS Users and Go to Next Step. Pada pesan konfirmasi, klik Clear IDaaS Users.
Pada langkah Associate Instance, pilih instans IDaaS EIAM baru dan klik Next. Pada pesan konfirmasi, klik OK.
Menghapus konfigurasi autentikasi IDaaS
Menghapus konfigurasi autentikasi IDaaS akan memutuskan asosiasi instans IDaaS EIAM dan menonaktifkan autentikasi IDaaS. Semua catatan pengguna IDaaS yang diimpor ke Bastionhost akan dihapus dan tidak dapat dipulihkan. Lakukan dengan hati-hati.
Login ke Bastionhost console. Di bilah navigasi atas, pilih wilayah tempat bastion host Anda berada.
Dalam daftar bastion host, temukan bastion host tersebut dan klik Manage.
Di panel navigasi kiri, klik System Settings.
Di tab IDaaS Authentication, klik Clear Settings.
Pada pesan yang muncul, pilih salah satu opsi berikut:
Klik Delete IDaaS-authenticated Users untuk menghapus semua catatan pengguna IDaaS dari Bastionhost tetapi tetap mempertahankan asosiasi instans IDaaS EIAM.
Klik Clear untuk menghapus semua catatan pengguna IDaaS dan memutuskan asosiasi instans IDaaS EIAM.
Pemecahan Masalah
Pengguna IDaaS tidak dapat login ke bastion host
Verifikasi hal berikut:
Pengguna tersebut ada di IDaaS dan telah disinkronkan ke Bastionhost. Buka Users > Users untuk memastikan.
Pengguna menggunakan autentikasi berbasis token O&M atau portal O&M — bukan autentikasi berbasis password. Pengguna IDaaS tidak dapat diautentikasi dengan password pada client.
Alamat IP egress IDaaS telah ditambahkan ke daftar putih bastion host Anda (jika kontrol akses diaktifkan).
Data pengguna tidak disinkronkan setelah asosiasi
Jika pengguna yang dibuat di IDaaS tidak muncul di Bastionhost, dorong secara manual menggunakan Metode 1 yang dijelaskan dalam Import existing IDaaS users, atau periksa pengaturan Manual Import Interval of Synchronized User Snapshots di tab IDaaS Authentication.