SASE menerapkan kebijakan keamanan berbasis identitas. Jika organisasi Anda mengelola struktur direktori menggunakan server Lightweight Directory Access Protocol (LDAP)—Windows Active Directory (AD) atau OpenLDAP—hubungkan ke SASE agar karyawan dapat masuk ke aplikasi SASE menggunakan akun korporat yang sudah ada.
Batasan
Maksimal lima sumber identitas dapat diaktifkan secara bersamaan.
Hanya satu sumber identitas kustom yang dapat diaktifkan dalam satu waktu.
Untuk mengaktifkan sumber identitas baru saat kuota penuh, nonaktifkan terlebih dahulu salah satu sumber identitas yang sudah ada.
Menonaktifkan sumber identitas mencegah pengguna akhir menggunakan aplikasi SASE untuk mengakses aplikasi internal. Lakukan dengan hati-hati.
Prasyarat
Sebelum memulai, pastikan Anda memiliki:
Akses ke Konsol SASE
Alamat dan nomor port server LDAP atau AD Anda
DN administrator dan kata sandi untuk direktori tersebut
(Opsional) Konektor SASE yang telah dikonfigurasi, jika server LDAP Anda berada di jaringan internal
Hubungkan sumber identitas LDAP
Langkah 1: Mulai wizard konfigurasi
Masuk ke Konsol SASE.
Pada panel navigasi kiri, pilih Identity Authentication > Identity Access.
Pada tab Identity synchronization, klik Create IdP.
Pada panel Create IdP, pilih LDAP, lalu klik Configure.
Langkah 2: Konfigurasi dasar
Konfigurasikan parameter berikut, lalu klik Next.
| Parameter | Deskripsi |
|---|---|
| IdP Name | Nama untuk sumber identitas. Harus terdiri dari 2–100 karakter. Menerima karakter Tionghoa, huruf, angka, tanda hubung (-), dan garis bawah (_). |
| Description | Ditampilkan sebagai judul login di klien SASE. Membantu pengguna mengenali sumber identitas saat login. |
| IdP Status | Enabled mengaktifkan sumber identitas segera setelah dibuat. Closed membuatnya dalam keadaan nonaktif. |
| Type | Pilih Windows AD untuk Microsoft Active Directory, atau OpenLDAP untuk LDAP open-source. |
| Server address | Alamat server AD atau LDAP Anda. Anda dapat menambahkan hingga lima alamat server. |
| Server port number | Port tempat server AD atau LDAP Anda mendengarkan koneksi. |
| Access authentication server from connector | Jika server LDAP berada di jaringan internal, pilih instans konektor yang terhubung untuk mengarahkan akses. |
| SSL connection | Atur ke Yes untuk mengenkripsi data yang ditransmisikan antara SASE dan server LDAP. |
| Base DN | Nama unik dasar (distinguished name/DN) yang menentukan cakupan otentikasi pengguna. SASE mengotentikasi semua akun di bawah node ini. Harus terdiri dari 2–100 karakter. |
| Organizational structure synchronization | Masukkan DN administrator dan password untuk menarik struktur direktori dari sumber identitas. Ini memungkinkan penugasan kebijakan berdasarkan unit organisasi secara batch. SASE tidak membaca data karyawan individual selama penerbitan kebijakan. |
| Logon username attribute | Memetakan atribut LDAP ke username yang dimasukkan karyawan saat login. Lihat tabel di bawah ini. |
Atribut username login — pilih sesuai skenario:
| Atribut LDAP | Deskripsi |
|---|---|
sAMAccountName | Atribut LDAP default untuk username. |
userPrincipalName | Termasuk sufiks domain. Karyawan harus memasukkan UPN lengkap termasuk sufiks domain saat login (misalnya, user@corp.example.com). |
cn | Atribut LDAP default untuk username. |
givenName | Atribut LDAP default untuk username. |
displayName | Atribut LDAP default untuk username. |
name | Atribut LDAP default untuk username. |
| Custom attribute | Atribut lain yang didefinisikan oleh LDAP dalam skema Anda. |
Jika Anda memilihuserPrincipalName, karyawan harus memasukkan UPN lengkap termasuk sufiks domain (misalnya,user@corp.example.com) saat masuk.
Jika pengguna dan grup tidak berada di bawah node yang sama dalam struktur LDAP Anda, konfigurasikan User Base DN dan Group Base DN secara terpisah di bawah Advanced Settings alih-alih menggunakan bidang umum Base DN.
Lanjutkan mengonfigurasi parameter berikut:
| Parameter | Deskripsi | |
|---|---|---|
| Group name attribute | Memetakan atribut LDAP ke nama grup. Opsi umum: cn, name, sAMAccountName. | |
| Group mapping attribute | Mendefinisikan hubungan keanggotaan grup. Default: memberOf. Jika dikonfigurasi, nilainya harus sesuai dengan yang ditetapkan dalam skema LDAP Anda. | |
| Group filter | Ekspresi filter LDAP untuk membatasi grup mana saja yang disinkronkan. Contoh umum: (&(objectClass=organizationalUnit)(objectClass=organization)) mencocokkan grup dari kedua jenis; `( | (objectClass=organizationalUnit)(objectClass=organization)) mencocokkan grup dari salah satu jenis; (!(objectClass=organizationalUnit))` mengecualikan jenis tertentu. Untuk sintaksis filter, lihat LDAP Filters. |
| User filter | Ekspresi filter LDAP untuk membatasi pengguna mana saja yang disinkronkan. Contoh: (&(objectClass=person)(objectClass=user)) mencocokkan pengguna dari kedua jenis; `( | (objectClass=person)(objectClass=user)) mencocokkan pengguna dari salah satu jenis; (!(objectClass=person))` mengecualikan jenis tertentu. |
| Automatic synchronization | Mengaktifkan sinkronisasi berkala dari LDAP. Jika dinonaktifkan, Anda harus memicu sinkronisasi secara manual. | |
| Synchronize user information | Jika diaktifkan, menyinkronkan data karyawan sesuai jadwal sinkronisasi otomatis. Memerlukan Automatic synchronization agar diaktifkan. | |
| Automatic synchronization cycle | Interval antar sinkronisasi otomatis. Tetapkan nilai dari 1 jam hingga 24 jam. |
Langkah 3: Pengaturan sinkronisasi
Konfigurasikan cakupan sinkronisasi dan petakan bidang LDAP ke bidang SASE, lalu klik Next.
| Parameter | Deskripsi |
|---|---|
| Organizational structure synchronization | Synchronize All mengimpor seluruh struktur direktori LDAP. Partially Synchronize memungkinkan Anda memilih unit organisasi tertentu. |
| Field synchronization mapping | Memetakan bidang LDAP ke bidang SASE. Untuk menambahkan bidang kustom di luar bidang bawaan, klik View Extended Fields di pojok kanan atas. |
Langkah 4: Pengaturan login
Konfigurasikan cara karyawan melakukan otentikasi pada setiap jenis perangkat.
Login PC
| Opsi | Detail |
|---|---|
| Logon with account and password | Login standar dengan username/password. Mendukung otentikasi dua faktor (2FA). |
| Password-free logon | Karyawan memindai kode QR menggunakan aplikasi seluler SASE. Tidak memerlukan password. |
Otentikasi dua faktor untuk PC (saat menggunakan akun dan kata sandi):
| Metode | Cara kerja |
|---|---|
| OTP-based authentication | Memerlukan token one-time password (OTP). Pilih salah satu dari tiga mode: (1) klien seluler SASE menghasilkan token — memerlukan aplikasi seluler SASE; (2) aplikasi OTP pihak ketiga — jam harus disinkronkan; (3) OTP milik perusahaan — hubungi dukungan teknis untuk konfigurasi. |
| Verification code-based authentication | Mengirim kode verifikasi melalui SMS atau email. Setiap pengguna harus memiliki nomor ponsel atau alamat email yang dikonfigurasi di sumber identitas. |
Login perangkat seluler
| Opsi | Detail |
|---|---|
| Logon with account and password | Login standar dengan username/password. Mendukung otentikasi dua faktor. |
| Fingerprint or face recognition | Otentikasi biometrik. Saat login pertama kali, karyawan harus memasukkan username dan password untuk mendaftar. |
Otentikasi dua faktor untuk seluler (saat menggunakan akun dan kata sandi):
| Metode | Prasyarat |
|---|---|
| OTP-based authentication | OTP PC harus diaktifkan terlebih dahulu dengan memilih Allow tokens on third-party applications atau Allow enterprise-owned tokens. Konfigurasi OTP seluler mengikuti pengaturan yang sama. |
| Verification code-based authentication | Setiap pengguna harus memiliki alamat email yang dikonfigurasi di sumber identitas. |
Langkah 5: Uji dan konfirmasi
Setelah menyelesaikan semua langkah konfigurasi, klik Logon Test di bagian bawah panel untuk memverifikasi konektivitas.
Jika uji menghasilkan Failed To Connect To The LDAP Server. Contact The Administrator., periksa apakah alamat server dan port sudah benar serta pastikan server dapat dijangkau dari jaringan SASE.
Jika uji berhasil, klik OK untuk menyimpan konfigurasi.
Lihat catatan sinkronisasi
Pada tab Identity synchronization, temukan sumber identitas tersebut dan klik Synchronize Records di kolom Actions.
Pada halaman Synchronize Records, klik tugas sinkronisasi di panel Synchronization Task di sebelah kiri untuk melihat detailnya di sebelah kanan.
Klik Details di kolom Actions untuk tugas tertentu guna membandingkan bidang Third-party data source dengan bidang SASE data source.
Picu sinkronisasi manual
Jika sinkronisasi otomatis dinonaktifkan, atau jika struktur direktori Anda telah berubah, picu sinkronisasi secara manual: klik Create Synchronization Task, lalu klik OK. Tunggu hingga tugas selesai sebelum meninjau hasilnya.
Setelah sinkronisasi berhasil, lihat struktur organisasi dan daftar karyawan yang diperbarui di bawah Identity Authentication > Identity Access > Employee Center. Untuk detailnya, lihat Employee Center.
Operasi lainnya
| Tugas | Cara |
|---|---|
| Nonaktifkan sinkronisasi otomatis | Pada halaman Identity synchronization, matikan sakelar di kolom Automatic Synchronization. Atau, matikan sakelar di panel Edit IdP. |
| Edit sumber identitas | Pada halaman Identity synchronization, klik Edit di kolom Actions. |
| Nonaktifkan sumber identitas | Pada tab Identity synchronization, matikan sakelar di kolom IdP Status. |
| Hapus sumber identitas | Pada halaman Identity synchronization, klik Delete di kolom Actions. |
Langkah berikutnya
Siapkan sumber identitas kustom — Jika organisasi Anda tidak menggunakan direktori eksternal, bangun struktur organisasi langsung di SASE. Lihat Konfigurasi sumber identitas SASE.
Hubungkan sumber identitas lainnya — SASE juga terintegrasi dengan DingTalk, WeCom, Lark, dan IDaaS.
Buat grup pengguna — Untuk mendefinisikan grup di luar struktur organisasi Anda, lihat Manajemen grup pengguna.