办公安全平台：结合SASE实现大模型零信任安全访问

步骤一：开通SASE实例

SASE支持免费试用7天，请参见SASE开通。更多计费说明，请参见办公安全平台计费概述。

步骤二：配置身份源

身份源主要为企业员工提供身份认证功能，SASE从身份源同步用户信息并完成用户认证。

下文以自定义身份源配置为例。

1. 登录办公安全平台控制台。

2. 在左侧导航栏，选择身份认证 > 身份接入。

3. 在身份同步页签，定位到自定义身份源，单击操作列的编辑，根据配置向导配置自定义身份源。

详细信息请查看对接自定义身份源。

步骤三：配置用户组

配置策略时，需要指定该策略生效的用户组。

1. 在左侧导航栏，选择身份认证 > 身份接入。

2. 在用户组管理页签中，单击添加用户组。

3. 在添加用户组面板中，配置用户组的组织架构、账户名称、邮箱、手机号等信息，完成配置。

详细信息请查看用户组管理。

步骤四：配置 AI 应用

1. 在左侧导航栏，选择 Agent 办公安全 > AI服务管理。

2. 在AI服务管理页面，单击添加AI服务。

3. 填写以下配置信息：

   1. 服务名称：AI 服务名称，用于控制台展示。

   2. 大模型供应商：选择大模型供应商。

   3. 服务协议：选择大模型协议。部分大模型供应商支持多种协议。

   4. 服务域名：选择大模型协议后，自动填充对应大模型供应商的公网域名。如使用其它供应商，可修改为对应供应商的域名。

   5. API-KEY：大模型的 API Key。

   6. 自定义代理地址前缀：可设置代理服务域名的前缀。需将 agent 中的大模型 baseUrl 修改为代理服务域名，通过SASE代理访问大模型的服务域名。

   7. 模型配置：配置模型 id。支持 * 和 ? 匹配，* 匹配零个或多个任意字符。 ? 匹配单个任意字符。

4. 完成配置后，可在AI服务管理页面查看到添加的 AI 服务信息。

步骤五：创建零信任策略

1. 在左侧导航栏，选择内网访问 > 访问控制。

2. 在零信任策略页签中，单击添加策略。

3. 在新增策略面板中，策略详情下添加用户和AI服务，完成策略配置。

详细信息可查看配置零信任策略。

步骤六：验证配置是否成功

1. 打开您已安装的SASE App。

2. 输入企业认证标识。企业认证标识可在办公安全平台控制台左侧导航栏的设置页面获取。

3. 使用邮箱或者手机接收到的初始账号名称和密码进行登录。

4. 使用 Agent 访问指定的大模型进行测试。

预期结果：

零信任策略中放行的用户可正常使用 Agent 访问大模型，禁止的用户无法使用 Agent 访问大模型。