SASE以身份驅動下發安全性原則,如果企業已使用IDaaS身份源管理組織架構,可以通過SASE對接企業的IDaaS身份源,無需您再次為企業員工建立身份資訊。對接企業IDaaS身份源後,企業員工可使用與企業身份一致的帳號體系登入SASE App辦公。本文介紹如何對接IDaaS身份源。
使用限制
身份源功能在同一時段最多開啟5個身份源(自訂身份源僅支援同時開啟一個)。如果當前已啟用的身份源額度已滿,您需要先禁用已啟用的身份源,然後再啟用您需要的身份源。
配置IDaaS身份源
登入辦公安全平台控制台。
在左側導覽列,選擇。
在身份同步頁簽,單擊新增身份源。
在新增身份源面板中,選擇IDaaS,然後單擊开始配置。
由於IDaaS的新舊版本配置流程不同,參考設定精靈完成相關配置。
IDaaS新版身份源配置流程
在基礎配置嚮導中,參考下表內容進行配置。
配置項
說明
身份源名稱
IDaaS身份源配置的名稱。
長度為2~100個字元,中文字元、英文字母、阿拉伯數字、短劃線(-)和底線(_)。
描述
該配置的描述資訊。
該描述會作為登入標題顯示在SASE 用戶端,方便您登入時知曉身份源資訊。
身份源状态
根據需要配置身份源狀態。取值:
已開啟:建立成功後開啟身份源開關。
已關閉:建立成功後關閉身份源開關。
重要關閉身份源開關,會導致終端使用者使用SASE App無法訪問內網應用。請謹慎操作。
IDaaS版本
選擇新版。
区域实例
選擇執行個體所在地區。支援選擇国内或海外地區。
SAML元配置文件
上傳SAML元設定檔。該檔案在建立阿里雲SASE應用(單點登入頁簽)時IDaaS為您自動產生的。
授权读取部门结构
根據需要授權讀取部門結構的許可權。取值:
是:請輸入IDaaS的API相關資訊,用以擷取企業目錄結構列表,需要設定如下欄位:
執行個體ID:建立的EIAM雲身份服務新版執行個體ID。
應用ID:為EIAM雲身份服務新版執行個體添加的阿里雲SASE應用ID。
client_id:介面鑒權ID,建立阿里雲SASE應用(通用配置頁簽)時IDaaS為您自動產生的。
client_secret:介面鑒權密鑰,建立阿里雲SASE應用(通用配置頁簽)時IDaaS為您自動產生的。
驗簽公開金鑰端點連結:建立阿里雲SASE應用(賬戶同步頁簽)時IDaaS為您自動產生的。
同步接收地址:在SASE控制台上複製該地址到IDaaS控制台的同步接收地址處。
加解密鑰:建立阿里雲SASE應用(賬戶同步頁簽)時IDaaS為您自動產生的。
說明配置後您可以按照目錄列表批量下發安全性原則。在下發安全性原則時,系統不會讀取您的員工資訊。
自动同步:開啟自动同步開關後,系統將自動根據同步模式從IDaaS同步相關資訊。
如果您未開啟自动同步,需要手動同步群組織架構,具體操作,請參見查看同步記錄。
同步员工信息:開啟同步员工信息開關後,系統將根據自动同步周期,自動從企業微信同步員工資訊。
說明若未開啟自动同步功能,則不執行同步员工信息功能。
自动同步周期:設定自动同步周期,支援設定每1小時-每24小時自動同步一次。
否:表示不授權讀取部門結構。
如果您在配置授权读取部门结构時選擇否,單擊確認,即可完成配置。
若您選擇是,可以單擊連通性測試,測試成功後,單擊下一步。
在同步配置嚮導中,對組織架構的同步範圍及欄位對應進行配置,然後單擊確認。
配置項
說明
組織架構同步
配置同步群組織架構的範圍。
全部同步:將新版IDaaS的組織架構全部同步到SASE系統中。
部分同步:選擇需要同步的組織架構。
字段同步映射
配置IDaaS組織架構欄位與SASE同步欄位的映射關係。
說明如果SASE系統內建的映射后本地字段無法滿足您的業務需求,您可以單擊列表右上方的查看扩展字段,在查看扩展字段面板中對擴充欄位進行新增、編輯、刪除等操作。
IDaaS舊版身份源配置流程
在基礎配置嚮導中,參考下表內容進行配置。
配置項
說明
身份源名稱
IDaaS配置的名稱。
長度為2~100個字元,中文字元、英文字母、阿拉伯數字、短劃線(-)和底線(_)。
描述
該配置的描述資訊。
該描述會作為登入標題顯示在SASE用戶端,方便您登入時知曉身份源資訊。
身份源状态
根據需要配置身份源狀態。取值:
已開啟:建立成功後開啟身份源開關。
已關閉:建立成功後關閉身份源開關。
重要關閉身份源開關,會導致終端使用者使用SASE App無法訪問內網應用。請謹慎操作。
IDaaS版本
選擇旧版。
SAML元配置文件
上傳SAML元設定檔。該檔案在建立應用詳情(SAML)時IDaaS為您自動產生的。
授权读取部门结构
根據需要授權讀取部門結構的許可權。取值:
是:請輸入IDaaS的API相關資訊,用以擷取企業目錄結構列表,需要設定API Key和API Secret,並設定自動同步相關功能。
說明配置後您可以按照目錄列表批量下發安全性原則。在下發安全性原則時,系統不會讀取您的員工資訊。
自动同步:開啟自动同步開關後,系統將自動根據同步模式從IDaaS同步相關資訊。
如果您未開啟自动同步,需要手動同步群組織架構,具體操作,請參見查看同步記錄。
同步员工信息:開啟同步员工信息開關後,系統將根據自动同步周期,自動從企業微信同步員工資訊。
說明若未開啟自动同步功能,則不執行同步员工信息功能。
自动同步周期:設定自动同步周期,支援設定每1小時-每24小時自動同步一次。
否:表示不授權讀取部門結構。
SP Entity ID
業務系統實體ID。固定值:https://saml-csas.aliyuncs.com/saml/metadata。
SP ACS URL
業務系統接收SAML請求的地址。固定值:https://saml-csas.aliyuncs.com/saml/acs。
如果您在配置授权读取部门结构時選擇否,單擊確認,即可完成配置。
若您選擇是,可以單擊連通性測試,測試成功後,單擊確認,完成配置。
查看同步記錄
當您在配置身份源時選擇授权读取部门结构,並開啟自動同步功能,待自動同步完成後您可以查看同步記錄。
在身份同步頁簽,定位到已添加的身份源,單擊操作列同步记录。
在同步记录頁面,查看該身份源的資訊同步記錄。
在頁面左側同步任务地區單擊具體的同步任務,可以在頁面右側列表中查看該同步任務的同步資訊。
單擊目標操作列詳情,查看本次同步的三方数据源和SASE数据源的欄位資訊。
手動同步
如果您在配置身份源時未開啟自动同步或您的身份源架構調整,需要手動同步架構資訊。您可以單擊新增同步任务,並單擊確定。等待同步任務執行成功後,再查看同步記錄。
同步成功後,您可以在頁簽中查看同步的企業組織架構及員工資訊等。具體操作,請參見員工中心。
關閉自動同步
在身份同步頁面,定位到已添加的身份源,在自动同步列關閉身份源的自動同步開關。
在编辑身份源面板中,關閉自動同步開關。
編輯IDaaS身份源
在身份同步頁面,定位到已添加的IDaaS身份源,單擊操作列編輯即可修改該身份源資訊。
關閉IDaaS身份源
在身份同步頁面,定位到已添加的IDaaS身份源,在身份源开关列關閉身份源的狀態開關。
刪除IDaaS身份源
在身份同步頁面,定位到已添加的IDaaS身份源,單擊操作列刪除即可刪除該身份源資訊。
相關文檔
配置SASE身份源
如果企業未使用任何身份源,可以使用SASE提供的自訂身份源上建立組織架構。具體資訊,請參見配置SASE身份源。
對接第三方身份源
如果企業已使用LDAP、DingTalk、企業微信、飛書、IDaaS身份源的某一種身份源管理企業組織架構,可以通過SASE接入身份源資訊。
配置使用者組
如果您需要在企業組織架構以外建立使用者組,請參見使用者組管理。