Hubungkan penyedia identitas IDaaS - Secure Access Service Edge

SASE menggunakan identitas untuk menerapkan kebijakan keamanan. Jika perusahaan Anda telah menggunakan penyedia identitas IDaaS untuk mengelola struktur organisasinya, Anda dapat menghubungkan penyedia identitas tersebut ke SASE. Hal ini menghilangkan kebutuhan untuk membuat ulang informasi identitas karyawan Anda. Setelah penyedia identitas IDaaS perusahaan terhubung, karyawan dapat menggunakan akun korporat mereka untuk masuk ke aplikasi SASE guna bekerja. Topik ini menjelaskan cara menghubungkan ke penyedia identitas IDaaS.

Batasan

Anda dapat mengaktifkan maksimal lima penyedia identitas secara bersamaan. Hanya satu penyedia identitas kustom yang dapat diaktifkan dalam satu waktu. Jika jumlah maksimum penyedia identitas yang diaktifkan telah tercapai, nonaktifkan salah satu penyedia yang ada sebelum mengaktifkan yang baru.

Konfigurasi penyedia identitas IDaaS

Login ke Konsol Secure Access Service Edge.
Di panel navigasi sebelah kiri, pilih Identity Authentication > Identity Access.
Pada tab Identity synchronization, klik Create IdP.
Pada panel Create IdP, pilih IDaaS, lalu klik Configure.

Proses konfigurasi berbeda antara versi lama dan versi baru IDaaS. Ikuti langkah-langkah pada wizard konfigurasi untuk menyelesaikan pengaturan.

Proses konfigurasi versi baru IDaaS

Pada langkah Basic Configurations, konfigurasikan parameter sesuai penjelasan dalam tabel berikut.

Item Konfigurasi	Deskripsi
IdP Name	Nama konfigurasi penyedia identitas IDaaS. Nama harus terdiri dari 2 hingga 100 karakter dan dapat berisi karakter Tionghoa, huruf, angka, tanda hubung (-), dan garis bawah (_).
Description	Deskripsi konfigurasi. Deskripsi ini muncul sebagai judul login di client SASE. Hal ini membantu Anda mengidentifikasi penyedia identitas saat login.
IdP Status	Konfigurasikan status sumber identitas. Nilai yang valid adalah: Enabled: Sumber identitas diaktifkan setelah dibuat. Closed: Sumber identitas dinonaktifkan setelah dibuat. Penting Jika Anda menonaktifkan sumber identitas, pengguna akhir tidak dapat menggunakan aplikasi SASE untuk mengakses aplikasi internal. Lakukan dengan hati-hati.
IDaaS Version	Pilih New Version.
Regional Instance	Pilih wilayah tempat instans berada. Anda dapat memilih Chinese Mainland atau Outside Chinese Mainland.
SAML Metadata File	Unggah file konfigurasi metadata SAML. File ini secara otomatis dihasilkan oleh IDaaS saat Anda membuat aplikasi Alibaba Cloud SASE pada tab Single Sign-on.
Grant Read Permissions on Organizational Structure	Berikan izin untuk membaca struktur departemen sesuai kebutuhan. Nilai yang valid: Yes: Masukkan informasi API untuk IDaaS agar mendapatkan daftar struktur direktori perusahaan. Anda harus mengatur bidang-bidang berikut: Instance ID: ID instans EIAM baru. Application ID: ID aplikasi Alibaba Cloud SASE yang Anda tambahkan ke instans EIAM baru. client_id: ID untuk autentikasi API. Ini secara otomatis dihasilkan oleh IDaaS saat Anda membuat aplikasi Alibaba Cloud SASE pada tab General Configurations. client_secret: Kunci untuk autentikasi API. Ini secara otomatis dihasilkan oleh IDaaS saat Anda membuat aplikasi Alibaba Cloud SASE pada tab General Configurations. Public Key Endpoint: Ini secara otomatis dihasilkan oleh IDaaS saat Anda membuat aplikasi Alibaba Cloud SASE pada tab Account Synchronization. URL for Receiving Synchronization Requests: Salin alamat ini dari Konsol SASE dan tempelkan ke bidang alamat penerima sinkronisasi di Konsol IDaaS. Encryption/Decryption Key: Ini secara otomatis dihasilkan oleh IDaaS saat Anda membuat aplikasi Alibaba Cloud SASE pada tab Account Synchronization. Catatan Setelah dikonfigurasi, Anda dapat menerbitkan kebijakan keamanan secara batch berdasarkan daftar direktori. Sistem tidak membaca informasi karyawan Anda saat menerbitkan kebijakan keamanan. Automatic Synchronization: Jika Anda mengaktifkan Automatic Synchronization, sistem akan secara otomatis menyinkronkan informasi dari IDaaS berdasarkan mode sinkronisasi. Jika Anda tidak mengaktifkan Automatic Synchronization, Anda harus menyinkronkan struktur organisasi secara manual. Untuk informasi lebih lanjut, lihat View synchronization records. Synchronize User Information: Setelah Anda mengaktifkan sakelar Synchronize User Information, sistem secara otomatis menyinkronkan informasi karyawan dari WeCom berdasarkan Automatic Synchronization Cycle. Catatan Jika Automatic Synchronization dinonaktifkan, fitur Synchronize User Information tidak berjalan. Automatic Synchronization Cycle: Atur Automatic Synchronization Cycle. Anda dapat mengatur sinkronisasi otomatis berjalan setiap 1 hingga 24 jam. No: Tidak memberikan izin untuk membaca struktur departemen.
LOGO	Unggah LOGO kustom.

Jika Anda mengatur Grant Read Permissions on Organizational Structure ke No, klik Confirm untuk menyelesaikan konfigurasi.
Jika Anda memilih Yes, Anda dapat mengklik Connectivity Test. Setelah pengujian berhasil, klik Next.

Pada langkah Synchronization Settings, konfigurasikan cakupan sinkronisasi dan pemetaan bidang untuk struktur organisasi, lalu klik Confirm.

Item Konfigurasi

Deskripsi

Organizational Structure Synchronization

Konfigurasikan cakupan untuk menyinkronkan struktur organisasi.

Synchronize All: Menyinkronkan seluruh struktur organisasi dari versi baru IDaaS ke sistem SASE.
Partially Synchronize: Pilih struktur organisasi yang akan disinkronkan.

Field Synchronization Mapping

Konfigurasikan pemetaan antara bidang struktur organisasi IDaaS dan bidang sinkronisasi SASE.

Catatan

Jika Local Field After Mapping bawaan di sistem SASE tidak memenuhi kebutuhan bisnis Anda, klik View Extended Fields di pojok kanan atas daftar. Di panel View Extended Fields, Anda dapat menambahkan, mengedit, atau menghapus bidang ekstensi.

Proses konfigurasi versi lama IDaaS

Pada langkah Basic Configurations, konfigurasikan parameter sesuai penjelasan dalam tabel berikut.

Item Konfigurasi	Deskripsi
IdP Name	Nama konfigurasi IDaaS. Nama harus terdiri dari 2 hingga 100 karakter dan dapat berisi karakter Tionghoa, huruf, angka, tanda hubung (-), dan garis bawah (_).
Description	Deskripsi konfigurasi. Deskripsi ini muncul sebagai judul login di client SASE. Hal ini membantu Anda mengidentifikasi penyedia identitas saat login.
IdP Status	Konfigurasikan status sumber identitas. Nilai yang valid adalah: Enabled: Sumber identitas diaktifkan setelah dibuat. Closed: Sumber identitas dinonaktifkan setelah dibuat. Penting Jika Anda menonaktifkan sumber identitas, pengguna akhir tidak dapat menggunakan aplikasi SASE untuk mengakses aplikasi internal. Lakukan dengan hati-hati.
IDaaS Version	Pilih Old Version.
SAML Metadata File	Unggah file konfigurasi metadata SAML. File ini secara otomatis dihasilkan oleh IDaaS saat Anda membuat detail aplikasi (SAML).
Grant Read Permissions on Organizational Structure	Berikan izin untuk membaca struktur departemen sesuai kebutuhan. Nilai yang valid: Yes: Masukkan informasi API untuk IDaaS agar mendapatkan daftar struktur direktori perusahaan. Anda harus mengatur API Key dan API Secret, serta mengonfigurasi fitur sinkronisasi otomatis. Catatan Setelah dikonfigurasi, Anda dapat menerbitkan kebijakan keamanan secara batch berdasarkan daftar direktori. Sistem tidak membaca informasi karyawan Anda saat menerbitkan kebijakan keamanan. Automatic Synchronization: Jika Anda mengaktifkan Automatic Synchronization, sistem secara otomatis menyinkronkan informasi dari IDaaS berdasarkan mode sinkronisasi. Jika Anda tidak mengaktifkan Automatic Synchronization, Anda harus menyinkronkan struktur organisasi secara manual. Untuk informasi lebih lanjut, lihat View synchronization records. Synchronize User Information: Setelah Anda mengaktifkan sakelar Synchronize User Information, sistem secara otomatis menyinkronkan informasi karyawan dari WeCom sesuai dengan Automatic Synchronization Cycle. Catatan Jika Automatic Synchronization dinonaktifkan, fitur Synchronize User Information tidak berjalan. Automatic Synchronization Cycle: Atur Automatic Synchronization Cycle. Anda dapat mengatur sinkronisasi otomatis berjalan setiap 1 hingga 24 jam. No: Tidak memberikan izin untuk membaca struktur departemen.
SP Entity ID	ID entitas sistem bisnis. Bidang statis: https://saml-csas.aliyuncs.com/saml/metadata.
SP ACS URL	Alamat tempat sistem bisnis menerima permintaan SAML. Bidang statis: https://saml-csas.aliyuncs.com/saml/acs.
LOGO	Unggah LOGO kustom.

Jika Anda mengatur Grant Read Permissions on Organizational Structure ke No, klik Confirm untuk menyelesaikan konfigurasi.
Jika Anda memilih Yes, Anda dapat mengklik Connectivity Test. Setelah pengujian berhasil, klik Confirm untuk menyelesaikan konfigurasi.

View synchronization records

Jika Anda memilih Grant Read Permissions on Organizational Structure dan mengaktifkan sinkronisasi otomatis saat mengonfigurasi penyedia identitas, Anda dapat melihat catatan sinkronisasi setelah proses sinkronisasi otomatis selesai.

Pada tab Identity synchronization, temukan sumber identitas yang diinginkan dan klik Synchronize Records di kolom Actions.
Pada halaman Synchronize Records, Anda dapat melihat catatan sinkronisasi untuk sumber identitas tersebut.
Di area Synchronization Task di sisi kiri halaman, klik tugas sinkronisasi tertentu untuk melihat informasi sinkronisasinya di daftar sebelah kanan.
Klik Details di kolom Actions untuk tugas tertentu guna melihat informasi bidang dari Third-party Data Source dan SASE Data Source untuk sinkronisasi tersebut.

Manual synchronization

Jika Anda tidak mengaktifkan Automatic Synchronization saat mengonfigurasi sumber identitas, atau jika struktur sumber identitas Anda telah berubah, Anda harus menyinkronkan informasi secara manual. Untuk melakukannya, klik Create Synchronization Task lalu klik OK. Tunggu hingga tugas sinkronisasi berhasil selesai sebelum melihat catatan sinkronisasi.

Catatan

Setelah sinkronisasi berhasil, Anda dapat melihat struktur organisasi dan informasi karyawan yang telah disinkronkan pada tab Identity Authentication > Identity Access > Employee Center. Untuk informasi lebih lanjut, lihat Employee Center.

Disable automatic synchronization

Pada halaman Identity synchronization, temukan sumber identitas yang diinginkan dan matikan sakelar di kolom Automatic Synchronization.
Di panel Edit IdP, matikan sakelar sinkronisasi otomatis.

Edit an IDaaS identity provider

Pada tab Identity synchronization, temukan penyedia identitas IDaaS yang ingin Anda edit dan klik Edit di kolom Actions.

Disable an IDaaS identity provider

Pada tab Identity synchronization, temukan penyedia identitas IDaaS yang ingin Anda nonaktifkan dan matikan sakelar di kolom IdP Status.

Delete an IDaaS identity provider

Pada tab Identity synchronization, temukan penyedia identitas IDaaS yang ingin Anda hapus dan klik Delete di kolom Actions.

References

Configure an SASE identity provider

Jika perusahaan Anda tidak menggunakan penyedia identitas apa pun, Anda dapat menggunakan penyedia identitas kustom yang disediakan oleh SASE untuk membangun struktur organisasi. Untuk informasi lebih lanjut, lihat Configure a SASE identity provider.

Connect to a third-party identity provider

Jika perusahaan Anda telah menggunakan penyedia identitas seperti LDAP, DingTalk, WeCom, Lark, atau IDaaS untuk mengelola struktur organisasinya, Anda dapat menghubungkan penyedia identitas tersebut ke SASE.

Configure user groups

Untuk membuat kelompok pengguna di luar struktur organisasi perusahaan, lihat User group management.