全部產品
Search

搜尋本產品

    Secure Access Service Edge:通過辦公安全平台保障LDAP使用者安全訪問

    文件中心

    Secure Access Service Edge:通過辦公安全平台保障LDAP使用者安全訪問

    更新時間:Aug 09, 2025

    建立辦公安全平台SASE(Secure Access Service Edge)與輕量型目錄存取通訊協定(LDAP)的串連,您的企業使用者直接以LDAP帳號登入辦公安全平台,方便您在辦公安全平台管控LDAP使用者的存取權限,從而保障企業的辦公資料安全。本文介紹如何建立SASE與LDAP的串連。

    應用情境

    SASE協助您管控企業員工的內網存取權限、互連網存取權限,以及保護企業辦公資料,滿足企業對日常辦公安全的需求。當您已經使用LDAP管理企業的使用者資訊時,您可以通過SASE與LDAP的串連,實現企業使用者直接使用LDAP帳號登入SASE用戶端,無需再維護一套SASE的身份管理系統,為您降低使用者資訊的維護成本。

    前提條件

    • 已開通SASE,並已安裝SASE用戶端。具體操作,請參見申請免費試用設定

    • 已使用LDAP管理公司的組織架構及安全性群組,且具有LDAP管理員帳號。

    操作流程

    說明

    本教程以您已使用LDAP管理企業的組織資訊為前提條件,所以流程圖中關於LDAP的資訊需要您提前完成,本教程不做詳細介紹。

    步驟一:建立SASE與LDAP資料的串連

    建立SASE與LDAP資料的串連,將LDAP上安全性群組的組織資訊同步到SASE

    1. 登入辦公安全平台控制台

    2. 在左側導覽列,選擇身份認證管理 > 身份接入

    3. 身份同步頁簽單擊新增身份源

    4. 新增身份源面板中,選擇LDAP,然後單擊开始配置,根據設定精靈完成相關配置。

    5. 基礎配置嚮導中,參考下表內容進行配置,然後單擊下一步

      配置項

      說明

      樣本值

      身份源名稱

      配置身份源的名稱資訊。

      長度為2~100個字元,中文字元、英文字母、阿拉伯數字、短劃線(-)和底線(_)。

      LDAP身份源

      描述

      該配置的描述資訊。

      該描述會作為登入標題顯示在SASE用戶端,方便您登入時知曉身份源資訊。

      LDAP

      身份源状态

      根據需要配置身份源狀態。取值:

      • 已開啟:建立成功後開啟身份源開關。

      • 已關閉:建立成功後關閉身份源開關。

        重要

        關閉身份源開關,會導致終端使用者使用SASE App無法訪問內網應用。請謹慎操作。

      已開啟

      类型选择

      支援選擇的目錄類型。取值:

      • Windows AD:Windows的目錄服務。

      • OpenLDAP:輕量型目錄存取通訊協定。

      Windows AD

      伺服器位址

      AD或者LDAP伺服器位址。最多支援配置5個。

      10.10.XX.XX

      服務器連接埠號碼

      AD或者LDAP伺服器的連接埠號碼。

      389

      說明

      如果您無法確定伺服器的實際連接埠號碼,請聯絡管理員。

      使用连接器访问认证服务器

      當LDAP認證服務部署內網環境時,可通過連接器實現認證服務打通。您需要選擇已成功串連的連接器執行個體,如何配置連接器打通網路請參見使用SASE連接器

      選擇已建立的連接器。

      使用SSL连接方式

      AD或者LDAP伺服器是否開啟SSL串連。取值:

      • :開啟SSL串連後,您在AD或者LDAP伺服器上的資料會進行加密傳輸,保證您的資料安全。

      • :表示不開啟SSL串連。

      Base DN

      要認證使用者的Base DN。當您設定該值後,SASE會認證該節點下所有賬戶的資訊。被認證的賬戶資訊可以登入SASE用戶端。該欄位的長度為2~100個字元。

      重要

      如果要認證使用者與組不在LDAP的同一節點下,您需要設定高級配置中的用戶 Base DN組 Base DN

      CN=Organizational-Unit,CN=Schema

      部門結構同步

      輸入管理員DN和管理員密碼,從身份源擷取企業目錄結構列表。

      重要

      配置後您可以按照企業目錄結構列表批量下發安全性原則。在下發安全性原則時,系統不會讀取您的員工資訊。

      • 管理員user1的DN:CN=user1,OU=安全性群組,DC=sasetest,DC=com

      • 管理員密碼:123456****

      登入使用者名稱屬性

      設定登入使用者名稱屬性欄位,用於統一同一企業使用者登入時使用者名稱的形式,您需要在企業內部定義該欄位。

      您可以選擇LDAP預設的表示使用者名稱屬性的欄位(包含cnnamegivenNamedisplayNameuserPrincipalNamesAMAccountName),也可以輸入LDAP定義的其他欄位,用來表示登入使用者名稱屬性

      說明

      userPrincipalName是有域尾碼,當您選擇userPrincipalName作為登入使用者名稱屬性時,登入時一定要填寫對應的域尾碼。例如:user***@aliyundoc.com。

      cn

      組名稱屬性

      設定組名稱屬性欄位,用於統一同一企業中組名稱的形式,您需要在企業內部統一定義該欄位。

      您可以選擇LDAP預設的表示使用者名稱屬性的欄位(包含cnnamesAMAccountName),也可以輸入LDAP定義的其他欄位,用來表示組名稱屬性

      cn

      組映射屬性

      設定組映射屬性欄位,用於定義企業使用者所歸屬的組關係。預設值:memberOf

      說明

      該欄位非必選,如需填寫,需與您在LDAP中設定的組映射屬性一致。

      memberOf

      組過濾器

      添加組過濾運算式,用於過濾不同分組的企業使用者,以便您後續管控不同分組下企業使用者的存取權限。

      LDAP常見的過濾器表示方式舉例:

      • (&(objectClass=organizationalUnit)(objectClass=organization)):表示搜尋objectClass等於organizationalUnit和objectClass等於organization,即兩個屬性都滿足的所有組。

      • (|(objectClass=organizationalUnit)(objectClass=organization)):表示搜尋objectClass等於organizationalUnit或object等於organization,即兩個屬性滿足其中一個的組。

      • (!(objectClass=organizationalUnit)):表示搜尋objectClass不等於organizationalUnit的組。

      關於LDAP的具體匹配規則,請參見LDAP官方文檔LDAP Filters

      (|(objectClass=organizationalUnit)(objectClass=organization)(objectClass=group))

      使用者過濾器

      您可以添加過濾運算式,用於過濾某一個或者某一類使用者。

      LDAP常見的過濾器表示方式舉例:

      • (&(objectClass=person)(objectClass=user)) :表示搜尋objectClass等於person和objectClass等於user,即兩個屬性都滿足的所有企業使用者。

      • (|(objectClass=person)(objectClass=user)) :表示搜尋objectClass等於person或objectClass等於user,即兩個屬性滿足其中一個的所有企業使用者。

      • (!(objectClass=person)):表示搜尋objectClass不等於person的所有企業使用者。

      關於LDAP的具體匹配規則,請參見LDAP官方文檔LDAP Filters

      (objectClass=person)

      自动同步

      開啟自动同步開關後,系統將自動根據同步模式從LDAP同步相關資訊。

      如果您未開啟自动同步,需要手動同步群組織架構,具體操作,請參見查看同步記錄

      已開啟

      同步员工信息

      開啟同步员工信息開關後,系統將根據自动同步周期,自動從LDAP同步員工資訊。

      說明

      若未開啟自动同步功能,則不執行同步员工信息功能。

      已開啟

      自动同步周期

      設定自动同步周期,支援設定每1小時-每24小時自動同步一次。

      24小時

    6. 同步配置嚮導中,對組織架構的同步範圍及欄位對應進行配置,然後單擊下一步

      配置項

      說明

      組織架構同步

      配置同步群組織架構的範圍。

      • 全部同步:將LDAP的組織架構全部同步到SASE系統中。

      • 部分同步:選擇需要同步的組織架構。

      字段同步映射

      配置LDAP組織架構欄位與SASE同步欄位的映射關係。

      說明

      如果SASE系統內建的映射后本地字段無法滿足您的業務需求,您可以單擊列表右上方的查看扩展字段,在查看扩展字段面板中對擴充欄位進行新增、編輯、刪除等操作。

    7. 登录配置嚮導中,根據下表內容設定裝置登入方式。

      配置項

      說明

      電腦裝置登入方式

      支援帳號密碼登入無密碼登入

      • 使用帳號密碼登入方式時,您可以開啟雙因素認證,取值:

        • OTP認證:開啟後,您需要選擇OTP令牌模式,目前支援如下三種模式:

          • 允許SASE移動端展示令牌:即SASE內建OTP,需要員工安裝SASE移動端App。

          • 允許第三方App令牌:需確保OTP用戶端時鐘同步正常,目前支援標準及常見的OTP認證軟體,例如阿里雲App等。

          • 允許企業自有令牌:若需相容企業自研OTP,請在技術人員支援下進行配置。

        • 驗證碼認證:支援簡訊驗證碼和郵箱驗證碼。確保配置的身份源中每個使用者都已錄入手機號或者郵箱號。

      • 使用無密碼登入方式時,需要先下載並登入SASE移動端App,然後進行掃碼認證。

      行動裝置登入方式

      支援帳號密碼登入指紋或Face Service認證

      • 使用帳號密碼登入方式時,您可以開啟雙因素認證,取值:

        • OTP認證:開啟OTP認證前,需開啟PC端OTP認證並選擇允許第三方APP綁定令牌或者允許企業自有令牌,移動端令牌配置與電腦裝置配置一致。

        • 驗證碼認證:開啟驗證碼認證前,需確保配置的身份源中每個使用者都已錄入手機號或郵箱。

      • 使用指紋或Face Service認證方式時,首次登入SASE App時仍需要輸入帳號名與密碼。

    8. 配置完成後您可以單擊面板下方的登录测试,確保登入測試成功後,單擊確認完成配置。

      image

      說明

      如果您配置的資料有誤,SASE會提示您對應的問題。當測試連接後,提示串連LDAP伺服器失敗,請聯絡管理員,您需要排查伺服器位址、連接埠號碼是否填寫正確,以及伺服器網路是否正常。

    步驟二:查看串連是否建立成功

    以上配置完成後,請按照以下步驟查看配置的串連是否建立成功。

    1. 開啟您已安裝的SASE App。

    2. 輸入企業認證標識,然後單擊確認

      您可以登入辦公安全平台控制台在左側導覽列的設定頁面,擷取企業認證標識

    3. 輸入使用者名稱和密碼,單擊登入

      登入成功後,表示串連已經建立成功。