All Products
Search

This Product

    Secure Access Service Edge:Akses pribadi tanpa agent ke aplikasi internal melalui browser

    Document Center

    Secure Access Service Edge:Akses pribadi tanpa agent ke aplikasi internal melalui browser

    Last Updated:Jul 18, 2025

    Dokumen ini menjelaskan cara mengakses aplikasi internal perusahaan melalui browser tanpa menginstal klien SASE.

    Skenario

    Pemasok eksternal atau pengguna kantor mobile memerlukan akses aman ke aplikasi internal perusahaan melalui browser tanpa menginstal klien.

    Prasyarat

    Dalam Mode rekaman CNAME, rekaman CNAME ditambahkan untuk memetakan nama domain proxy kustom ke nama domain titik akses SASE.

    Metode implementasi

    SASE menyediakan dua mode proxy untuk mendukung akses tanpa agent ke nama domain internal. Pilih mode yang sesuai berdasarkan kebutuhan Anda.

    Metode Proxy

    Prinsip

    Keuntungan

    Kerugian

    Domain Mapping

    SASE menyediakan nama domain proxy baru. Pengguna dapat menggunakan nama domain tersebut untuk mengakses aplikasi kantor.

    Nama domain baru yang independen digunakan dan tidak mempengaruhi logika akses asli.

    Perubahan nama domain akses dapat menyebabkan masalah berikut:

    • Batasan panggilan lintas-domain: Jika API dari aplikasi lain dipanggil, Anda harus menambahkan kebijakan CORS ke aplikasi terkait untuk mengizinkan akses dari nama domain tanpa agent.

    • Kegagalan Single Sign-On (SSO): Misalnya, jika Anda telah mengintegrasikan SSO DingTalk, Anda harus menambahkan nama domain proxy tanpa agent baru ke alamat webhook di aplikasi DingTalk.

    • Cookie domain tingkat kedua tidak berfungsi: Jika SSO Anda menetapkan cookie pada domain tingkat kedua untuk mengaktifkan integrasi identitas antara aplikasi yang berbeda, kami sarankan Anda menggunakan mode rekaman CNAME dan mengajukan nama domain baru untuk akses tanpa agent.

    CNAME

    Nama domain yang diajukan oleh perusahaan digunakan dan dipetakan ke gateway SASE berdasarkan rekaman CNAME. Pengguna menggunakan nama domain tersebut untuk mengakses aplikasi kantor.

    Nama domain internal dapat digunakan kembali.

    Proses konfigurasi kompleks.

    • Perusahaan Anda harus mengonfigurasi rekaman CNAME untuk nama domain proxy kustom yang menunjuk ke nama domain titik akses SASE.

    • Perusahaan Anda harus memiliki layanan DNS internal.

    • Pengunggahan sertifikat SSL diperlukan.

    Langkah 1: Buat aplikasi

    1. Masuk ke Konsol SASE.

    2. Di pohon navigasi sebelah kiri, pilih Private Access > Application Management.

    3. Pilih mode proxy berdasarkan apakah nama domain proxy kustom diperlukan.

      Mode proxy pemetaan domain

      Gunakan nama domain proxy baru yang disediakan oleh SASE. Pengguna dapat menggunakan nama domain ini untuk mengakses aplikasi internal.

      1. Klik Add Application, tentukan Application Name di bagian Manual Configuration > Basic Configurations, pilih Browser-based Access, lalu klik Next.

      2. Di bagian Application Address, konfigurasikan parameter Application Address, Port, Protocol, Proxy Domain Name (SaaS Proxy Gateway), dan Configure Domain Name Mappings. Konfigurasikan mode proxy pemetaan domain berdasarkan gambar berikut.

        image

      Mode rekaman CNAME

      Gunakan nama domain yang diajukan oleh perusahaan dan konfigurasikan rekaman CNAME yang menunjuk ke gateway SASE. Pengguna dapat menggunakan nama domain ini untuk mengakses aplikasi kantor.

      1. Di pojok kanan atas halaman, klik Certificate Management. Unggah sertifikat SSL perusahaan dan kunci privat ke konsol SASE.

      2. Klik Add Application, tentukan Application Name di bagian Manual Configuration > Basic Configurations, pilih Browser-based Access, lalu klik Next.

      3. Di bagian Application Address, konfigurasikan parameter Application Address, Port, dan Protocol, pilih CNAME untuk Proxy Domain Name (SaaS Proxy Gateway), lalu atur nama domain proxy kustom. Pahami cara mengonfigurasi mode proxy pemetaan domain berdasarkan gambar berikut.

        image

    4. Jika aplikasi Anda memenuhi kondisi berikut, klik OK untuk menyelesaikan pembuatan aplikasi. Jika tidak, lihat Browser Access Settings dan Advanced Settings.

      • SSO tidak dikonfigurasi.

      • Nama domain untuk mengakses aplikasi tidak dibatasi.

      • Tidak ada URL yang menunjuk ke alamat internal lain yang dikonfigurasi untuk aplikasi.

      • Tidak ada permintaan lintas-domain dari frontend aplikasi ke aplikasi internal lain yang dilakukan.

      Konfigurasi akses browser

      Jika aplikasi berisi URL ke alamat internal atau perlu melakukan permintaan lintas-domain ke aplikasi internal lain dan klien diinstal, aplikasi dapat diakses karena jaringan internal terhubung. Namun, dalam skenario tanpa agent, URL yang relevan harus ditulis ulang untuk memastikan akses normal tanpa agent karena aplikasi internal lain tidak dapat diakses langsung.

      Konfigurasikan penulisan ulang HTML

      1. Pilih HTML-based Internal Domain Rewriting. Jika aplikasi internal lain yang termasuk dalam aplikasi dikonfigurasikan dengan nama domain proxy, SASE memindai semua URL dan menggantinya secara otomatis dengan nama domain proxy.

      2. Dalam skenario berikut, tentukan alamat sebelum dan sesudah penulisan ulang karena gateway SASE tidak dapat mendeteksi nama domain secara otomatis. Lalu, SASE menggantinya dengan nama domain proxy.

        <script>
  //Gunakan variabel JavaScript untuk mendeklarasikan URL. Gateway SASE tidak dapat mendeteksi URL secara otomatis, dan Anda harus menentukan aturan untuk mengganti URL.
  const url = "https://www.a.com/"
  //Tetapkan URL ke window.href
  window.href = url
</script>

        image

      Konfigurasikan penulisan ulang JavaScript

      Pilih JavaScript-based Internal Request Rewriting. Jika kode JavaScript frontend aplikasi memulai permintaan lintas-domain ke aplikasi internal lain, alamat permintaan akan diganti secara otomatis.

      Konfigurasikan akses anonim

      Pilih Anonymous Access, dan konfigurasikan alamat IP spesifik atau rentang IP untuk mengakses jalur internal tertentu tanpa verifikasi identitas atau pemeriksaan kebijakan percaya nol. Dalam hal ini, permintaan diizinkan secara langsung.

      Pengaturan lanjutan

      Anda dapat mengonfigurasi parameter penulisan ulang permintaan gateway untuk menulis ulang header dan parameter query dalam permintaan tanpa agent ke nilai yang dikonfigurasi. Nilai-nilai tersebut dapat digunakan untuk mengidentifikasi pengenal akses tanpa agent untuk analisis lebih lanjut.

      image

    5. Setelah konfigurasi selesai, klik OK. Konfigurasi membutuhkan waktu sekitar 2 menit untuk diterapkan.

    Langkah 2: Konfigurasikan kebijakan percaya nol

    Mengonfigurasi kebijakan percaya nol memastikan bahwa hanya pengguna yang terotentikasi yang dapat mengakses aplikasi tanpa agent melalui browser, sehingga meningkatkan keamanan.

    1. Di pohon navigasi sebelah kiri, pilih Private Access > Zero Trust Policies.

    2. Klik Create Policy. Di panel Create Policy, konfigurasikan parameter Applicable User serta aplikasi terkait.

      Catatan

      Aplikasi tanpa agent tidak mendukung konfigurasi baseline keamanan atau template pemicu.

      image

    3. Klik OK.

    Langkah 3: Verifikasi konfigurasi

    1. Di mesin uji, lakukan tes konektivitas pada nama domain proxy. Pastikan nama domain proxy diselesaikan ke titik akses SASE.

    2. Akses nama domain proxy dari browser untuk memeriksa apakah akses ke aplikasi kantor normal.

      Catatan

      Pertama kali Anda mengakses nama domain dari browser, Anda akan dialihkan ke halaman logon.

      • Mode Pemetaan Domain: Salin alamat proxy dari daftar aplikasi.

        image

      • Mode Rekaman CNAME: Gunakan nama domain proxy kustom untuk akses.

    Operasi lainnya

    Untuk pengguna yang telah mengaktifkan DingTalk sebagai IdP, Anda dapat merujuk ke Akses Aman untuk Pengguna DingTalk melalui Secure Access Service Edge. Buat aplikasi web, konfigurasikan nama domain proxy aplikasi tanpa agent di Alamat Halaman Utama Aplikasi, dan konfigurasikan pengguna yang efektif. Dengan konfigurasi ini, pengguna DingTalk dapat mengakses aplikasi tanpa memasukkan informasi logon lagi.