本文介紹如何將企業已有身份認證源(如RAM、AD、LDAP、IDaaS等)的使用者整合至Bastionhost,以實現企業人員統一管理。
背景資訊
對於使用者規模相對龐大、複雜的企業,管理員為了提高使用者管理效率,通常會整合不同業務系統的身份認證,實現企業人員統一管理。Bastionhost作為企業統一營運管控平台,能夠靈活地適配企業的多種使用者身份認證源,從而大幅降低使用者管理成本。
解決方案
阿里雲Bastionhost作為營運安全的統一管控平台,支援對接多種身份認證來源使用者,包括自建使用者、同步RAM/AD/LDAP使用者、以及通過與IDaaS(應用身份認證服務)聯動對接更多種身份認證使用者。例如,您可以將DingTalk使用者、Azure AD使用者等同步至IDaaS中的EIAM執行個體,再將賬戶推送至Bastionhost,從而實現多種三方身份認證來源使用者通過登入Bastionhost營運門戶訪問伺服器。
將企業已有身份認證源的使用者整合至Bastionhost
匯入RAM使用者
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇。
在使用者頁面,單擊匯入RAM使用者。
可選:如果您還未建立RAM使用者,您可以在匯入RAM使用者頁面,單擊建立RAM使用者,根據頁面提示建立RAM使用者。
建立RAM使用者的具體操作,請參見建立RAM使用者。
在匯入RAM使用者頁面,在目標RAM使用者的操作列單擊匯入,匯入單個RAM使用者;或者同時選中多個RAM使用者後單擊匯入,大量匯入多個RAM使用者。
說明如果需要為RAM使用者佈建雙因子認證,您可以登入RAM存取控制台,設定RAM使用者的多因素認證MFA(Multi Factor Authentication)。具體操作,請參見為阿里雲帳號綁定MFA裝置。
建立本機使用者
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇。
在使用者頁面,參考下表,新增單個使用者或從檔案匯入多個使用者。
適用情境
操作說明
新增單個本機使用者
選擇匯入其他來源使用者 > 新增使用者
在新增使用者面板,配置使用者資訊,單擊建立。
配置使用者資訊需將認證方式選擇為本地認證,除配置基礎資訊外,您還可以進行以下操作。
開啟本機使用者在下次登入時必須重設密碼:勾選後,強制本機使用者下一次登入時修改密碼。該功能僅針對本機使用者可用。
設定有效期間:設定有效期間限後,在使用者列表的狀態列,未在有效期間內的使用者狀態會顯示為已到期,且使用者無法登入Bastionhost進行營運操作。
配置雙因子認證方式:開啟後,使用者登入Bastionhost時,通過密碼認證之後,還需要通過簡訊、郵件或DingTalk工作訊息通知發送動態驗證碼進行二次認證,降低安全風險。
說明開啟雙因子認證後,使用者在登入時,必須使用手機號碼或郵箱接收驗證碼進行驗證,請確保填寫的手機號碼或郵箱地址無誤。Bastionhost簡訊雙因子認證支援的國家和地區,請參見Bastionhost簡訊雙因子認證支援的國家和地區。
您填寫的手機號和郵箱僅用於接收驗證碼或警示資訊,不用於其他用途。
雙因子認證方式包括以下兩種類型:
選擇全域配置,表示目前使用者採用全域的雙因子認證方式,即您在系統設定中配置的雙因子認證方式。具體操作,請參見開啟雙因子認證。
選擇單個用戶配置,表示您需要對目前使用者單獨設定雙因子認證方式。Bastionhost支援設定以下雙因子認證方式:
不開啟雙因子認證:表示不開啟雙因子認證功能。
手機簡訊雙因子認證:表示使用目前使用者的手機簡訊進行二次認證。此時您必須為該使用者佈建手機號碼。
郵箱雙因子認證:表示使用目前使用者的郵箱進行二次認證。此時您必須為該使用者佈建郵箱地址。
DingTalk雙因子認證:表示使用目前使用者的DingTalk進行二次認證。此時您必須為該使用者佈建手機號碼。
說明如果您需要啟用DingTalk認證,請確保已符合以下要求:
已為需要進行營運操作的使用者帳號添加手機號。為使用者添加手機號的具體操作,請參見修改本機使用者基本資料。
DingTalk管理員已建立企業內部應用,並且為應用開通根據手機號姓名擷取成員資訊的介面存取權限。
已擷取企業內部應用的AppKey、AppSecret、AgentId。
手機OTP令牌認證:表示使用目前使用者的手機OTP令牌進行認證,使用者需要先綁定手機OTP令牌。
說明選擇該認證方式,您需先下載標準TOTP認證軟體,例如阿里雲App等,再通過公網地址登入Bastionhost營運門戶,在左側導覽列單擊安全設定,然後單擊手機OTP令牌頁簽,單擊設定令牌,自助掃描二維碼,綁定OTP令牌認證。有關擷取Bastionhost營運地址的更多資訊,請參見Bastionhost頁面概覽。
配置雙因子通知發送語言:
選擇全域配置,表示目前使用者採用在系統設定中配置的雙因子通知發送語言。具體操作,請參見開啟雙因子認證。
選擇單個用戶配置:支援選擇雙因子使用簡體中文或English語言發送通知。
批量從檔案匯入使用者
選擇匯入其他來源使用者列表中,選擇從檔案匯入本機使用者。
單擊下載用戶模板檔案,下載使用者模板檔案到本地,在使用者模板檔案錄入使用者資訊並儲存。
在匯入本機使用者面板,單擊點擊上傳,上傳使用者模板檔案。
在匯入使用者預覽對話方塊,選擇需要匯入的使用者,單擊匯入。
在匯入本機使用者面板,確認使用者資訊,單擊匯入本機使用者。
選中本機使用者在下次登入時必須重設密碼,表示匯入的所有使用者在下一次登入時都要重設密碼。
說明如果匯入使用者中存在與檔案中使用者或系統中已有使用者的使用者名稱重複的情況,使用者名稱重複的使用者將不會被匯入。您可以在匯入本機使用者面板上單擊詳情,查看未被匯入的使用者。
可選:如需Bastionhost發送訊息通知使用者營運地址,需要為本機使用者設定手機號或者郵箱(至少其中一項)後,勾選通知使用者營運地址。
匯入AD/LDAP使用者
匯入AD或LDAP使用者前,請確保您已經配置了AD或LDAP認證。具體操作,請參見配置AD或LDAP認證。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇。
選擇匯入其他來源使用者 > 匯入AD使用者或匯入LDAP使用者。
在匯入AD使用者或匯入LDAP使用者頁面,定位到目標使用者,在操作列單擊匯入。
您可以選中多個使用者進行大量匯入。
匯入IDaaS使用者
匯入IDaaS使用者前,請確保您已經配置了IDaaS認證。具體操作,請參見管理IDaaS認證。
IDaaS使用者暫不支援通過密碼認證方式使用用戶端工具登入Bastionhost進行資產營運,可以通過營運令牌認證方式使用用戶端工具進行營運,或者通過營運門戶進行營運。具體操作,請參見營運使用手冊。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇。
選擇匯入其他來源使用者 > 匯入IDaaS使用者。
在匯入IDaaS使用者頁面,定位到目標使用者,在操作列單擊匯入。
您可以選中多個使用者進行大量匯入。如果沒有顯示IDaaS使用者,請您單擊立即同步。