Identity as a Service：網路端點

基礎介紹

網路端點（Network Access Endpoint）是 IDaaS EIAM 執行個體進行網路訪問的載體，分為專屬端點和共用端點。專屬端點需要購買後才可使用（專屬端點計費說明），共用端點可以免費使用。

專屬端點

專屬端點是您的 EIAM 執行個體獨享的網路端點，本質上是您的 EIAM 執行個體持有您 VPC 中的一個 ENI，您可以針對該 ENI 設定安全性群組規則或網路設定，從而實現 EIAM 執行個體的專屬私網訪問或專屬公網訪問。

專屬私網訪問

EIAM 執行個體通過私網串連到您的阿里雲 VPC 後，無需開放公網連接埠即可實現 AD/LDAP/應用的資料同步以及 AD/LDAP 的委託認證。

下面以 AD 為例，展示針對不同網路規劃的支援方式，以供您參考。

AD 和 ENI 屬於同一個阿里雲 VPC

如果您的 AD 網域服務器和 EIAM 持有的 ENI 同屬於一個阿里雲 VPC，此時您需要採用如下網路 ACL 方式：

• AD 網域服務器所屬安全性群組允許存取 ENI 的 IP。

AD 和 ENI 屬於不同阿里雲 VPC

如果您的 AD 網域服務器和 EIAM 持有的 ENI 同屬於不同的阿里雲 VPC，此時您需要採用如下網路 ACL 方式：

• 通過 CEN 連通不同的阿里雲 VPC。

• AD 網域服務器所屬的安全性群組允許存取 ENI 的 IP。

AD 屬於線下 IDC 或其它雲端服務廠商

如果您的 AD 與伺服器屬於自己的線下 IDC 或者其它雲端服務廠商，此時您需要採用如下網路 ACL 方式：

• 通過專線（VPN 等）拉通阿里雲側 VPC 和 AD 網域服務器所屬的 IDC 或其它雲端服務廠商。

• AD 網域服務器所在的防火牆允許存取 ENI 的 IP。

專屬公網訪問

EIAM 執行個體通過私網串連到您的阿里雲 VPC 後，您可以為 EIAM 所持有的 ENI 綁定彈性公網 IP 或者為您的阿里雲 VPC 綁定公網 NAT Gateway，從而讓 EIAM 執行個體可以使用您的公網 IP 訪問公網。您可以將此公網 IP 作為企業微信的可信 IP，從而滿足企業微信的相關要求。

共用端點

共用端點是 EIAM 執行個體進行網路訪問時預設使用的網路端點，所有 EIAM 執行個體共用。僅支援訪問公網。

兩種端點的對比

以下是專屬端點和共用端點的能力對比。

網路端點支援情況

下表是目前各功能模組的網路端點支援情況。各模組預設使用共用端點，如需變更需手動切換。

添加專屬端點

在【個人化 - 網路端點】中即可進入網路端點管理頁面。

第一步：建立服務關聯角色（SLR）

訪問網路端點頁面或添加專屬端點時，如當前不存在服務關聯角色，需要先建立IDaaS EIAM 服務關聯角色。阿里雲主帳號或擁有 AliyunIDaaSEiamFullAccess 許可權的阿里雲使用者才可執行此操作。

第二步：升級或升配執行個體

當執行個體的專屬端點數量少於專屬端點配額時，您才可以建立專屬端點。專屬端點配額需單獨購買。

• 針對免費版或試用版執行個體，請升級執行個體，在購買頁中提高專屬端點數量。

• 針對企業版執行個體，請升配執行個體，在購買頁中提高專屬端點數量。

第三步：選擇資源

在【網路端點】頁面中點擊【添加專屬端點】，開始添加流程。

填寫專屬端點名稱，並選擇希望串連的地區、專用網路、交換器等資訊。

• 顯示名稱：專屬端點的顯示名稱，僅在控制台中展示。

• 地區（Region）：選擇希望串連的專用網路所在的地區。

• Virtual Private Cloud：選擇當前地區下的專用網路。如果您需要私網訪問 AD/LDAP/應用等服務，請選擇這些服務所在的或可以訪問這些服務的專用網路。

• 交換器（vSwitch）：選擇當前專用網路下的交換器。交換器的可用 IP 數需大於 2 個，且不可使用 33 網段。最多選擇 2 個交換器。

確認無誤後，點擊【確定】即可開始添加專屬端點。

添加完成後，還需進行如下配置，才可正式使用專屬端點：

• 如需實現專屬私網訪問，請授權私網訪問

• 如需實現專屬公網訪問，請配置專屬公網出口 IP

授權私網訪問

在【個人化 - 網路端點】頁面中，在需要專屬私網訪問的專屬端點中點擊【授權私網訪問】。

第一步：擷取訪問規則

在彈窗中訪問規則，複製【授權對象】。授權對象中彙總了當前專屬端點的所有專屬私網出口 IP。

第二步：配置安全性群組訪問規則

點擊【前往添加】按鈕，前往【Elastic Compute Service - 安全性群組】，在頁面中選擇需要私網訪問的服務所在的安全性群組。

進入安全性群組，在【訪問規則 - 入方向】中點擊【手動添加】。

在新增的訪問規則中填寫如下內容並儲存：

• 授權策略：允許。

• 優先順序：1。

• 協議類型：自訂 TCP。

• 連接埠範圍：填寫您的服務的連接埠範圍。如果串連的是 AD/LDAP，一般使用 389 或 636。

• 授權對象：在上一步中複製的專屬私網出口 IP 位址。

第三步：切換專屬端點訪問

以 AD 為例，前往【身份提供方】頁面，點擊【修改】按鈕修改基礎配置。

在【網路設定 - 網路端點】中，選擇【專屬端點】，在下拉框中選擇已配置安全性群組訪問規則的專屬端點。

點擊【確認】時，該執行個體將立即進行校正：使用該專屬端點的專屬私網出口 IP（即彈性網卡主私網 IP）訪問該 AD 服務，如果彈性網卡（最多兩張）均能訪問成功，則校正通過，立即切換為專屬端點；如果任一彈性網卡訪問失敗，則校正不通過，提示錯誤資訊。

配置專屬公網出口 IP

通過公網 NAT Gateway配置，實現 EIAM 執行個體通過您指定的 IP 訪問公網，您可以將此公網 IP 作為企業微信的可信 IP，從而滿足企業微信的相關校正。

第一步：查看專屬網路地區

在【個人化 - 網路端點】頁面中，在需要專屬公網訪問的專屬端點中查看【專用網路地區】。

第二步：綁定彈性公網 IP

在【專用網路 - 公網 NAT Gateway】中，選擇和【專用網路地區】相同的地區下的公網 NAT Gateway，點擊【立即綁定】彈性公網 IP，開始繫結資料流程。如無可用資源請提前建立公網 NAT Gateway。

您可以從已有的彈性公網 IP 中選擇，也可以直接新購併綁定彈性公網 IP。

綁定成功後，如果您當前執行個體下沒有SNAT條目，請參考建立和管理SNAT條目，之後專屬端點即可支援公網訪問能力。

您可以在【個人化 - 網路端點】頁面的【專屬公網出口 IP】中查看當前專屬使用的公網 IP。

切換專屬端點訪問

以 AD 為例，前往【身份提供方】頁面，點擊【修改】按鈕修改基礎配置。

在【網路設定 - 網路端點】中，選擇【專屬端點】，在下拉框中選擇已配置專屬公網出口 IP 的專屬端點。

點擊【確認】時，該執行個體將立即進行校正：使用該專屬端點的專屬公網出口 IP（即彈性網卡或公網 NAT Gateway的公網 IP）訪問該 AD 服務，如果彈性網卡（最多兩張）均能訪問成功，則校正通過，立即切換為專屬端點；如果任一彈性網卡訪問失敗，則校正不通過，提示錯誤資訊。

您可以點擊專屬公網出口 IP 中的【立即查看】查看所使用的網關 IP。

修改專屬端點

專屬端點僅支援修改顯示名稱。如需修改其他資訊，需刪除後重新設定。

刪除專屬端點

有兩種方式刪除專屬端點：

• 當執行個體中沒有模組（身份提供方、應用）使用專屬端點功能時，管理員可以手動刪除

• 付費執行個體到期釋放、退訂時，IDaaS 強制自動刪除

刪除專屬端點時，IDaaS 將會釋放由 IDaaS 在您的帳號下建立的對應資源，包括：

• 彈性網卡

• 雲產品託管安全性群組

刪除專屬端點後，資源和資料不可恢複，專屬端點立即不可使用。如果您需要刪除 AliyunServiceRoleForEiam 服務關聯角色，需刪除所有 EIAM 執行個體。