Hubungkan penyedia identitas (IdP) Lightweight Directory Access Protocol (LDAP) Anda ke Secure Access Service Edge (SASE) agar karyawan dapat login ke client SASE menggunakan akun LDAP yang sudah ada. Hal ini menghilangkan kebutuhan untuk memelihara sistem identitas terpisah untuk SASE dan memungkinkan Anda mengelola izin akses privat serta akses Internet dari Konsol SASE.
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
Langganan SASE yang diaktifkan dengan client SASE terinstal. Lihat Ajukan uji coba gratis dan Gunakan fitur pengaturan.
Layanan direktori LDAP yang aktif (Microsoft Active Directory atau OpenLDAP) yang mengelola struktur organisasi dan security group Anda.
Akun administrator LDAP dengan kredensial (DN dan password) yang dapat membaca direktori.
Skenario
Perusahaan A menggunakan Microsoft Active Directory (AD) untuk mengelola pengguna di dua departemen dan satu security group:
| Group | Members | Notes |
|---|---|---|
| Department 1 | user1, user2, user3 | user2 adalah administrator |
| Department 2 | user4, user5 | |
| Security group | user2, user4 |
Topik ini menjelaskan langkah-langkah menghubungkan IdP LDAP ke SASE dengan menyinkronkan struktur organisasi security group tersebut. Contoh berikut menggunakan nilai-nilai berikut:
Base DN security group:
CN=Organizational-Unit,CN=Schema,CN=Configuration,DC=sasetest,DC=comBase DN administrator user2:
CN=Person,CN=Schema,CN=Configuration,DC=sasetest,DC=comPassword administrator:
123456******
Topik ini menggunakan atribut LDAP default. Jika Anda telah menyesuaikan atribut Anda, gantilah dengan nama atribut yang sebenarnya.
Ikhtisar
Topik ini tidak mencakup penyiapan LDAP. Prasyaratnya adalah perusahaan Anda sudah menggunakan LDAP untuk mengelola struktur organisasi.
Langkah 1: Hubungkan IdP LDAP Anda ke SASE
Hubungkan IdP LDAP Anda ke SASE untuk menyinkronkan struktur organisasi dan mengaktifkan login berbasis LDAP bagi pengguna Anda.
Login ke Konsol SASE. Di panel navigasi sebelah kiri, pilih Identity Authentication and Management > Identity Access.
Pada tab IdP Management, klik Add IdP.
Pada panel Add, atur Authentication Type menjadi Single IdP dan Enterprise IdP menjadi LDAP, lalu konfigurasikan pengaturan dalam tiga langkah.
3a. Informasi dasar
Konfigurasikan koneksi server LDAP dan kredensial administrator Anda, lalu klik Next.
| Parameter | Description | Example |
|---|---|---|
| IdP configuration status | Aktifkan atau nonaktifkan IdP. Jika IdP lain atau kombinasi IdP sudah diaktifkan, nonaktifkan terlebih dahulu di halaman IdP Management sebelum mengaktifkan yang ini. | Enabled |
| Type | Jenis layanan direktori. | Windows AD |
| Configuration name | Nama unik untuk IdP ini. Panjang 2–100 karakter; huruf, angka, tanda hubung (-), dan garis bawah (_) diperbolehkan. | test_001 |
| Description | Ditampilkan di client SASE sebagai judul login, sehingga pengguna mengetahui IdP mana yang sedang mereka gunakan untuk login. | LDAP |
| Server address | Alamat IP atau hostname server AD atau OpenLDAP Anda. | 10.10.XX.XX |
| Server port number | Nomor port server AD atau OpenLDAP Anda. Hubungi administrator Anda jika Anda tidak yakin dengan nomor port yang sebenarnya. | 389 |
| SSL connection | Aktifkan untuk mengenkripsi data yang dikirim antara SASE dan server LDAP Anda. | No |
| Base DN | Distinguished name (DN) dari node pengguna untuk autentikasi. SASE mengotentikasi semua akun di bawah node ini. Panjang 2–100 karakter. | CN=Organizational-Unit,CN=Schema |
| Organizational structure synchronization | DN dan password akun administrator. SASE menggunakan kredensial ini untuk membaca struktur organisasi guna manajemen kebijakan batch. Data pengguna tidak disimpan. | DN: CN=user1,OU=Security Group,DC=sasetest,DC=com; Password: 123456**** |
Jika pengguna dan grup yang akan diautentikasi berada di node yang berbeda, konfigurasikan User base DN dan Group base DN di bagian Advanced settings alih-alih menggunakan Base DN.
3b. Konfigurasi atribut
Petakan atribut direktori LDAP Anda ke bidang SASE agar SASE dapat mengenali pengguna dan grup, lalu klik Next.
| Parameter | Description | Example |
|---|---|---|
| Logon username attribute | Atribut LDAP yang menyimpan username yang dimasukkan karyawan saat login. Opsi default: cn, name, givenName, displayName, userPrincipalName, sAMAccountName. Anda juga dapat memasukkan atribut kustom. | cn |
| Display user name attribute | Atribut LDAP yang ditampilkan sebagai username akun di client SASE. Opsi default sama seperti di atas. | cn |
| Group name attribute | Atribut LDAP yang digunakan sebagai nama grup. Opsi default: cn, name, sAMAccountName. Anda juga dapat memasukkan atribut kustom. | cn |
| Group mapping attribute | Atribut LDAP yang memetakan pengguna ke grup mereka. Default: memberOf. Pastikan ini sesuai dengan nama atribut di direktori LDAP Anda. | memberOf |
| Group filter | Filter LDAP untuk memilih grup yang akan disinkronkan. Contoh umum: (objectClass=organizationalUnit), (&(objectClass=organizationalUnit)(objectClass=organization)). Lihat LDAP Filters untuk sintaks filter. | (objectClass=organizationalUnit) |
| User filter | Filter LDAP untuk memilih pengguna yang akan disinkronkan. Contoh umum: (objectClass=person), (&(objectClass=person)(objectClass=user)). Lihat LDAP Filters untuk sintaks filter. | (objectClass=person) |
| Email attribute | Atribut LDAP untuk alamat email. Default: email. Pastikan ini sesuai dengan nama atribut di direktori Anda. | |
| Mobile phone number attribute | Atribut LDAP untuk nomor telepon. Default: telephoneNumber. Pastikan ini sesuai dengan nama atribut di direktori Anda. | telephoneNumber |
userPrincipalName mencakup sufiks domain. Jika Anda memilihnya sebagai logon username attribute, pengguna harus memasukkan sufiks domain lengkap saat login — misalnya, user***@aliyundoc.com.
3c. Metode login dan autentikasi
Konfigurasikan cara karyawan melakukan autentikasi saat login ke client SASE.
| Parameter | Options |
|---|---|
| PC logon method | Logon with account and password / Password-free logon |
| Two-factor authentication | Verification code-based authentication (Verifikasi melalui pesan teks — memerlukan nomor telepon seluler untuk setiap pengguna) / OTP-based authentication (memerlukan client OTP yang berfungsi; client yang didukung: Google Authenticator, Microsoft Authenticator, dan Alibaba Cloud App) |
Klik OK.
Validasi koneksi:
Klik Logon Test untuk memeriksa apakah konfigurasi valid. Jika pengujian gagal dengan pesan Failed to connect to the LDAP server. Contact the administrator, verifikasi bahwa alamat server, nomor port, dan konektivitas jaringan sudah benar.
Verifikasi bahwa struktur organisasi telah tersinkronisasi:
Buka tab User Group Management dan klik Create User Group. Panel tersebut seharusnya menampilkan struktur organisasi dari IdP LDAP Anda. Tunggu hingga 30 detik agar sinkronisasi awal selesai. Jika struktur tidak muncul, refresh halaman.
Langkah 2: Verifikasi koneksi IdP
Konfirmasi bahwa koneksi berfungsi secara end-to-end dengan login ke client SASE sebagai pengguna LDAP.
Buka client SASE.
Pada halaman SASE Client Logon, masukkan identifier autentikasi perusahaan Anda dan klik Confirm. Temukan identifier autentikasi perusahaan di halaman Pengaturan Konsol SASE.
(Opsional) Jika Anda mengonfigurasi verifikasi SMS, masukkan kode verifikasi yang Anda terima.
Login dengan akun dan password user1. Jika autentikasi berhasil, IdP telah terhubung ke SASE.