全部產品
Search

搜尋本產品

    Secure Access Service Edge:認證管理

    文件中心

    Secure Access Service Edge:認證管理

    更新時間:Sep 17, 2025

    本文檔介紹了SASE App的認證管理功能,協助您更方便、更安全地登入和使用應用。通過靈活的身份管理、自動登入策略以及使用企業級身份提供方(Okta、Azure AD、自研系統等)通過OIDC協議單點登入到SASE App,讓您在使用過程中享受更流暢、更安全的訪問體驗。

    使用情境

    • 當企業接入多個應用後,每個應用有不同的身份源,使用者需要使用不同的身份源登入SASE App。

    • 使用者基於OIDC認證源。此時為了操作方便,企業需要將支援OIDC協議應用統一使用OIDC認證源登入SASE App。

    • 在企業終端統一管理的環境中,IT管理員希望員工在開啟SASE App時無需手動輸入帳號密碼即可自動登入,提升使用效率和使用者體驗。

    前提條件

    • 開啟認證狀態需要先建立身份源並開啟身份源開關。具體操作,請參見身份同步

    • 使用OIDC協議擴充LDAP身份源,您需要先對接LDAP身份源,並開啟身份源開關。如果你需要對接LDAP的最佳實務,請參見通過辦公安全平台保障LDAP使用者安全訪問

      說明

      由於OIDC認證源沒有組織架構的能力,所以必須關聯具備組織架構能力的身份源。

    • 企業辦公終端安裝的SASE App的版本不低於v4.8.5。

    建立擴充認證源

    擴充認證源支援配置OIDC認證源和裝置認證源。OIDC認證源基於標準的OIDC授權碼模式實現聯邦認證,理論上,只要您的身份提供方(如Okta、Azure AD、自研系統)支援該模式的單點登入,即可作為SASE的身份提供方,允許使用者使用其帳號登入SASE App。裝置認證源則需上傳裝置相關資訊,結合免登策略,可實現用戶端的自動免登入操作。

    1. 登入辦公安全平台控制台

    2. 在左側導覽列,選擇身份認證管理 > 身份接入

    3. 認證管理頁簽,單擊扩展认证源

      image

    4. 扩展认证源頁面,單擊添加扩展认证源

    5. 新增面板,參考下表添加擴充認證源資訊。

      配置項

      說明

      认证源名称

      擴充身份源的名稱資訊。

      長度為2~100個字元,中文字元、英文字母、阿拉伯數字、短劃線(-)和底線(_)。

      描述

      該配置的描述資訊。

      該描述會作為登入標題顯示在SASE用戶端,方便您登入時知曉身份源資訊。

      扩展认证源配置 > 认证源类型

      认证源类型支援OIDC设备认证兩種方式,其中裝置認證用於用戶端免登入功能。

      • OIDC

        • 授权模式:預設為授權碼模式,無法修改。

        • Client ID:向SASE發起請求的標識資訊,即您的身份提供方中應用的標識。

        • Client Secret:向SASE發起請求的密鑰資訊,即您的身份提供方中應用的密鑰。

          重要

          請保管好Client Secret,一旦懷疑泄露,請刪除舊密鑰並添加新密鑰進行輪轉。

        • Scopes:請求授權端點時攜帶的 Scopes 資訊,代表申請的授權範圍。

        • Issuer:OIDC Issuer 發現端點。可通過解析發現端點,自動擷取端點資訊。

      • 设备认证

        1. 單擊下載匯入模板,填寫需要使用免登功能的裝置資訊(姓名、手機號、郵箱、裝置MAC地址、裝置SN號、裝置主機名稱)。

          image

        2. 拖拽上傳檔案或單擊查看本地檔案,將模板上傳至SASE

      关联身份源

      選擇不同的認證源類型支援選擇關聯身份源的類型不同。

      • OIDC類型:選擇已建立的LDAP身份源,且僅支援選擇LDAP身份源。

      • 裝置認證類型:選擇已建立的身份源。

    6. 單擊確定

      選擇OIDC認證源類型時,還需要複製SASE授權回調RedirectURI的值,然後將該值填寫到OIDC服務中。

    配置免登策略並登入用戶端

    開啟用戶端免登功能後,用戶端無需登入即可運行,未綁定身份源的裝置將以匿名身份接入,資料保護與終端防護策略仍可生效。

    1. 登入辦公安全平台控制台

    2. 在左側導覽列,選擇身份認證管理 > 身份接入

    3. 認證管理頁簽中,單擊免登策略

    4. 客户端免登策略面板中開啟配置免登範圍及查看免登生效裝置。

      配置項

      說明

      启动客户端免登录

      開啟用戶端免登策略。

      免登范围

      • 全部设备:指平台終端列表中的所有裝置,包括手動匯入的公司裝置。策略生效後,這些裝置將以匿名身份免登上線,需開啟自訂身份源認證。您可以在左側導覽列中,選擇終端管理 > 終端列表,查看企業終端資訊。

      • 认证设备:指已在擴充認證源中完成裝置認證配置的所有裝置。策略生效後,這些裝置將以歸屬人身份免登上線。

      免登生效状态

      當前已生效的裝置。您可以單擊裝置數量,跳轉至終端列表頁面查看生效裝置的相關資訊。

    5. 單擊確定

    6. 認證管理頁簽中開啟自訂身份源開關。

      說明

      開通SASE後,預設會為您產生一條自訂身份源。如果您需要建立自訂身份源,請參見配置SASE身份源

      • 如果企業使用的是企業架構身份源,同時也需要開通對應身份源開關。

      • 如果企業使用的是OIDC擴充認證源,同時需要在認證管理頁簽中開啟對應認證源狀態。

    7. 使用在免登範圍內的裝置下載並安裝SASE App。

    8. 開啟SASEApp,輸入企業認證標識後,單擊確認SASE App將會自動完成登入。

    開啟認證狀態

    已建立並開啟身份源開關或已建立的OIDC擴充認證源會在列表中展示,您可以管理身份源的認證狀態及調整身份源在SASE App登入頁的展示順序。

    1. 認證管理頁簽,定位到您已建立的身份源。

    2. 單擊认证状态列的開關,開啟認證狀態。

      如果您需要調整SASE App登入頁身份源的展示順序。

      image可以在拖動列表左側的image進行調整。

      image

    說明

    • 只有開啟認證狀態的身份源支援調整展示順序。

    • 只有開啟認證狀態的身份源才能使用該身份源登入SASE App。

    相關文檔