本文檔介紹如何在不安裝SASE用戶端的情況下通過瀏覽器訪問企業內網應用。
適用情境
外部供應商或隨處工作使用者需通過瀏覽器安全訪問企業內部應用,無需安裝用戶端。
前提條件
CNAME代理方式,您需要將自訂代理網域名稱的CNAME解析到SASE的存取點網域名稱中。
實現方式
SASE提供兩種代理模式以支援內網網域名稱的無用戶端訪問,請根據實際需求選擇適合的模式。
代理方式 | 原理 | 優點 | 缺點 |
網域名稱映射 | SASE提供一個新的代理網域名稱。企業員工可以使用該網域名稱訪問內網應用。 | 獨立新網域名稱,不影響原來的訪問邏輯。 | 由於訪問網域名稱的變化,可能會導致以下幾種問題。
|
CNAME | 使用企業申請的網域名稱,並CNAME解析到SASE的網關上,企業員工使用該網域名稱訪問內網應用。 | 可以複用內網網域名稱。 | 配置流程更複雜:
|
步驟一:建立應用
登入辦公安全平台控制台。
在左側導覽列選擇。
您需要判斷是否使用自訂代理網域名稱來選擇代理模式。
網域名稱映射代理模式
使用SASE提供一個新的代理網域名稱。企業員工可以使用該網域名稱訪問內網應用。
單擊添加應用,在配置項中輸入應用程式名稱並勾選浏览器访问,然後單擊下一步。
在應用地址配置項中,配置應用地址、連接埠、協議、代理域名(SaaS代理网关)、设置映射域名等。請參考下圖佈建網域名映射代理模式。
CNAME代理模式
使用企業申請的網域名稱,並CNAME解析到SASE的網關上,企業員工使用該網域名稱訪問內網應用。
在頁面右上方,單擊證書管理。並上傳企業SSL認證及私密金鑰託管在SASE控制台。
單擊添加應用,在配置項中輸入應用程式名稱並勾選浏览器访问,然後單擊下一步。
在應用地址配置項中,配置應用地址、連接埠、協議、代理域名(SaaS代理网关)選擇CNAME並設定企業自訂的代理網域名稱等。請參考下圖,瞭解如何配置CNAME代理模式。
如果您的應用滿足以下條件,您可以單擊確定,完成應用建立。若不滿足條件,請參考浏览器访问配置和進階設定。
未接入單點登入SSO。
未限制訪問應用的網域名稱。
應用內不存在指向其他內網地址的連結。
應用前端未向其他內網應用發起跨域請求。
瀏覽器訪問配置
若應用中包含內網地址連結或需向其他內網應用發起跨域請求,在有用戶端的情況下,因內網已打通,可正常訪問。而在無用戶端情境下,由於無法直接存取其他內網應用,需對相關連結進行改寫以確保無用戶端訪問的正常進行。
配置HTML改寫
勾選HTML内网域名重写。如果應用中包含的其他內網應用已經配置了代理網域名稱,SASE會掃描所有連結並自動進行替換代理網域名稱。
對於以下情況,SASE網關無法自動識別,需要指定重寫前後地址,SASE會替換代理網域名稱。
<script> //js變數聲明一個url,此時SASE網關無法自動識別到該連結,需要指定替換規則 const url = "https://www.a.com/" //將url賦值給window.href window.href = url </script>
配置JS改寫
勾選JS内网请求重写。如果應用的前端JS代碼向其他內網應用發起跨域請求,會自動替換請求地址。
配置匿名訪問
勾選匿名访问,並配置指定IP或IP段對指定內網訪問路徑不校正身份和零信任策略,直接允許存取。
進階配置
您可以通過配置網關請求改寫參數,將無用戶端請求中的Headers和Query參數改寫為配置值,作為無用戶端的訪問標識,方便後期分析。
配置完成後,單擊確定。配置生效大約需要2分鐘。
步驟二:配置零信任策略
配置零信任策略可以確保只有經過身分識別驗證的使用者能夠通過瀏覽器訪問無用戶端應用,從而提高安全性。
在左側導覽列選擇。
單擊添加策略,在新增策略面板中配置生效使用者和應用。
說明無用戶端應用不支援配置安全基準和觸發模板。
單擊確定。
步驟三:配置驗證
在測試機器上,對代理網域名稱進行連通性測試。確保代理網域名稱已經解析到SASE的存取點。
通過瀏覽器訪問代理網域名稱,查看是否能夠正常訪問內網應用。
說明首次通過瀏覽器訪問會重新導向到登入頁面。
網域名稱映射模式:在應用列表中複製Proxy 位址。
CNAME代理模式:使用自訂代理網域名稱訪問。
其他動作
對於啟用了DingTalk身份源的使用者,您可以參考通過辦公安全平台保障DingTalk使用者安全訪問。建立網頁應用,將無用戶端應用代理網域名稱配置到應用首頁地址中,並配置生效使用者。通過此配置,DingTalk使用者無需再次輸入登入資訊即可訪問應用。